作者:JFrog大中华区总经理董任远
网络威胁变幻莫测,最近备受瞩目的开源软件安全事件(如 log4Shell、Solar Winds、Colors and Fakers 等)及其对全球数以千计公司造成的灾难性影响,凸显了企业目前在强化数字环境方面所面临的挑战。例如,IDC 的一项调查显示,虽然2022 年一年内全球就有超过 1,000 万人和 1,700 家实体受到开源软件供应链攻击的影响,但仍有87% 的受访者青睐继续使用开源组件来构建软件。使用开源代码的人日益增多,这带来不可否认的优势,促进合作开发,加快发展进程。然而,也必须认识到,这种整合存在风险。
开源代码的崛起: 一把双刃剑
有行业研究表明,82% 的开源软件组件因存在漏洞、安全问题、代码质量或可维护性问题而存在“固有风险”。该报告还显示,虽然企业中超过 70% 的软件是开源的,但这些组件往往没有得到追踪、维护、更新或清点,从而在软件供应链中留下了严重的漏洞,让威胁行为者有可乘之机。这些数据凸显出当下已成为软件创新与安全相融合的“节骨眼”。
在当今软件驱动的世界里,“唯快不破”的口号推动着软件开发,对软件开发和部署的速度提出更高的要求。开发人员要兼顾业务需求,而安全团队则要增加保护层,但这些措施可能会延长时间。尽管偷工减料的做法很具诱惑性,但 IDC 的智慧还是占了上风:“今天安全不意味着明天一定安全”。IDC 指出,在部署之后进行二进制漏洞修复,可能会花费数百万美元。更明智的做法是在部署软件之前,评估并解决安全问题,避免在高风险运行时造成影响。在创新无止境的时代,安全不是一种选择,而是成败的决定性因素。
开发人员的关键考量因素
软件开发过程错综复杂,为加速开发和部署安全软件,关键在于开发人员、运营团队和安全团队之间的协作。
开发人员需要考虑三大关键领域:
将安全工具无缝集成到开发工作流中,能够带来变革性优势。通过采用整合平台,无需管理众多不同的工具,能够简化运营,提高效率并推动协作。这种方法不仅能加快解决问题的速度,还能通过最大限度地减少漏洞来加强安全性。面对不断变化的威胁,整合平台的方式具有战略上的必要性,赋能公司应对挑战,同时增强自身整体安全态势。
确保软件供应链的安全: 强化,强化,再强化
当开发人员穿行于开源软件的动态环境中时,有一条基本原则至关重要 —— 安全必须渗透到软件供应链的方方面面。在软件开发生命周期的各个环节落实安全措施,就好比加固数字堡垒的城墙,防止入侵和漏洞。为实现更安全的未来,关键就在于拥有能够从一开始就扫描并阻止开源软件组件渗入软件供应链的强大工具。开发人员有责任在自身项目中优先考虑安全问题。他们利用所掌握的各种安全工具,就能创建一个创新与安全和谐共存的弹性生态系统。实现安全的开源代码不仅是一种责任,也证明了坚定的承诺——建立以协作、创新和安全为基础的数字环境。
好文章,需要你的鼓励
南洋理工大学研究团队开发了WorldMem框架,首次让AI拥有真正的长期记忆能力,解决了虚拟世界模拟中的一致性问题。该系统通过记忆银行存储历史场景,并使用智能检索机制,让AI能准确重现之前的场景和事件,即使间隔很长时间。实验显示在Minecraft和真实场景中都表现出色,为游戏、自动驾驶、机器人等领域带来广阔应用前景。
AWS通过升级SageMaker机器学习平台来扩展市场地位,新增观测能力、连接式编码环境和GPU集群性能管理功能。面对谷歌和微软的激烈竞争,AWS专注于为企业提供AI基础设施支撑。SageMaker新功能包括深入洞察模型性能下降原因、为开发者提供更多计算资源控制权,以及支持本地IDE连接部署。这些更新主要源于客户需求,旨在解决AI模型开发中的实际问题。
MTS AI研究团队提出RewardRanker系统,通过重排序模型和迭代自训练显著提升AI代码生成质量。该方法让13.4B参数模型超越33B大模型,在多种编程语言上表现优异,甚至在C++上超越GPT-4。通过引入困难负样本和PPO优化,系统能从多个代码候选中选出最优方案,为AI编程助手的实用化奠定基础。