随着数字化转型全面展开,使用的代码量也随之急剧增加,同时也意味着攻击面也在增加。这给软件研发和安全团队带来了挑战。提前了解常见漏洞的现状和趋势可以帮助他们提前部署,防患未然。
新思科技(Synopsys, Nasdaq: SNPS)近日发布了《2023年软件漏洞快照》报告。新思科技网络安全研究中心 (CyRC) 分析的数据显示,目标应用中发现的漏洞显著减少——从 2020 年的 97% 下降到 2022 年的 83%——这是一个令人鼓舞的迹象,表明代码审查、自动化测试和持续集成有助于减少常见的编程错误。
该报告详细介绍了由新思科技安全测试服务运行的测试汇总出的三年数据(2020 年至 2022 年),测试目标包括 Web 应用、移动应用、网络系统和源代码。测试结合多种安全技术,包括渗透测试、动态应用安全测试 (DAST)、移动应用安全测试 (MAST) 和网络安全测试,旨在探测在真实环境不法分子会如何攻击正在运行的应用。
虽然行业采取积极措施应对软件漏洞,数据表明,依靠静态应用安全测试 (SAST) 等单一工具作为解决方案的方法已不再适用。例如,服务器配置错误平均占三年测试中发现的漏洞总数的 18%。如果没有结合多层安全措施,例如SAST识别编码缺陷、DAST检查正在运行的应用、软件组成分析(SCA)识别第三方组件引入的漏洞以及渗透测试识别内部测试可能遗漏的问题,这些类型的漏洞可能会无法检测出来。
新思科技质量与安全部门总经理Jason Schmitt表示:“多年来我们第一次看到软件中已知漏洞的数量有所下降,这给企业带来了新希望。他们严肃对待安全问题,并优先考虑对软件安全部署全面的策略,以持续确保安全。随着黑客变得越来越老练,我们比以往任何时候都更需要采取多层安全措施,以识别软件风险所在并保护企业免遭利用。”
《2023年软件漏洞快照》报告还发现:
点击这里,下载《2023年软件漏洞快照》报告。
好文章,需要你的鼓励
这项研究由新加坡国立大学团队开发的DualParal技术,通过创新的双重并行架构解决了AI视频生成的长度限制问题。该方法同时在时间帧和模型层两个维度实现并行处理,配合分块降噪机制、特征缓存和协调噪声初始化策略,使生成分钟级长视频成为可能。实验表明,在生成1,025帧视频时,DualParal比现有技术减少了高达6.54倍的延迟和1.48倍的内存成本,同时保持了高质量的视频输出,为内容创作者提供了生成更长、更复杂视频叙事的新工具。
SoloSpeech是约翰霍普金斯大学研究团队开发的创新语音处理技术,针对"鸡尾酒会效应"问题提出了全新解决方案。该系统通过级联生成式管道整合压缩、提取、重建和校正过程,实现了高质量目标语音提取。与传统判别式模型相比,SoloSpeech采用无需说话者嵌入的设计,直接利用提示音频的潜在空间信息与混合音频对齐,有效避免特征不匹配问题。在Libri2Mix及多个真实世界数据集上的评测显示,SoloSpeech在清晰度、质量和泛化能力上均达到了领先水平,为语音分离技术开辟了新方向。
这项由北京大学深圳研究生院、伟湾大学、腾讯ARC实验室和兔小贝智能联合研究的Sci-Fi框架,通过创新的对称约束机制,解决了视频帧间插值中的关键问题。研究团队设计了轻量级EF-Net模块,增强结束帧约束力,使其与起始帧形成平衡影响,从而生成更自然流畅的中间过渡帧。实验证明,该方法在各种场景下都优于现有技术,特别适用于电影制作、动画创作和视频编辑领域,显著降低了人力成本。
这项来自西北大学和谷歌的研究突破了传统马尔可夫强化学习的局限,通过贝叶斯自适应RL框架解释了大语言模型中涌现的反思性推理行为。研究团队提出的BARL算法通过维护多个解题策略的后验分布,指导模型何时何地进行反思性探索,在数学推理任务上展现出显著优势,比基线方法减少高达50%的标记使用量,同时提高了准确率。这一研究不仅解释了"为什么反思有用",还提供了实用的指导原则,为AI系统的自适应推理能力开辟了新方向。