随着数字化转型全面展开,使用的代码量也随之急剧增加,同时也意味着攻击面也在增加。这给软件研发和安全团队带来了挑战。提前了解常见漏洞的现状和趋势可以帮助他们提前部署,防患未然。
新思科技(Synopsys, Nasdaq: SNPS)近日发布了《2023年软件漏洞快照》报告。新思科技网络安全研究中心 (CyRC) 分析的数据显示,目标应用中发现的漏洞显著减少——从 2020 年的 97% 下降到 2022 年的 83%——这是一个令人鼓舞的迹象,表明代码审查、自动化测试和持续集成有助于减少常见的编程错误。
该报告详细介绍了由新思科技安全测试服务运行的测试汇总出的三年数据(2020 年至 2022 年),测试目标包括 Web 应用、移动应用、网络系统和源代码。测试结合多种安全技术,包括渗透测试、动态应用安全测试 (DAST)、移动应用安全测试 (MAST) 和网络安全测试,旨在探测在真实环境不法分子会如何攻击正在运行的应用。
虽然行业采取积极措施应对软件漏洞,数据表明,依靠静态应用安全测试 (SAST) 等单一工具作为解决方案的方法已不再适用。例如,服务器配置错误平均占三年测试中发现的漏洞总数的 18%。如果没有结合多层安全措施,例如SAST识别编码缺陷、DAST检查正在运行的应用、软件组成分析(SCA)识别第三方组件引入的漏洞以及渗透测试识别内部测试可能遗漏的问题,这些类型的漏洞可能会无法检测出来。
新思科技质量与安全部门总经理Jason Schmitt表示:“多年来我们第一次看到软件中已知漏洞的数量有所下降,这给企业带来了新希望。他们严肃对待安全问题,并优先考虑对软件安全部署全面的策略,以持续确保安全。随着黑客变得越来越老练,我们比以往任何时候都更需要采取多层安全措施,以识别软件风险所在并保护企业免遭利用。”
《2023年软件漏洞快照》报告还发现:
点击这里,下载《2023年软件漏洞快照》报告。
好文章,需要你的鼓励
OpenAI在最新博客中首次承认,其AI安全防护在长时间对话中可能失效。该公司指出,相比短对话,长对话中的安全训练机制可能会退化,用户更容易通过改变措辞或分散话题来绕过检测。这一问题不仅影响OpenAI,也是所有大语言模型面临的技术挑战。目前OpenAI正在研究加强长对话中的安全防护措施。
北航团队推出VoxHammer技术,实现3D模型的精确局部编辑,如同3D版Photoshop。该方法直接在3D空间操作,通过逆向追踪和特征替换确保编辑精度,在保持未修改区域完全一致的同时实现高质量局部修改。研究还创建了Edit3D-Bench评估数据集,为3D编辑领域建立新标准,展现出在游戏开发、影视制作等领域的巨大应用潜力。
谷歌宣布计划到2026年底在弗吉尼亚州投资90亿美元,重点发展云计算和AI基础设施。投资包括在里士满南部切斯特菲尔德县建设新数据中心,扩建现有设施,并为当地居民提供教育和职业发展项目。弗吉尼亚州长表示这项投资是对该州AI经济领导地位的有力认可。此次投资是谷歌北美扩张战略的一部分。
宾夕法尼亚大学研究团队开发出PIXIE系统,这是首个能够仅通过视觉就快速准确预测三维物体完整物理属性的AI系统。该技术将传统需要数小时的物理参数预测缩短至2秒,准确率提升高达4.39倍,并能零样本泛化到真实场景。研究团队还构建了包含1624个标注物体的PIXIEVERSE数据集,为相关技术发展奠定了重要基础,在游戏开发、机器人控制等领域具有广阔应用前景。