作者:JFrog大中华区总经理董任远
网络威胁变幻莫测,最近备受瞩目的开源软件安全事件(如 log4Shell、Solar Winds、Colors and Fakers 等)及其对全球数以千计公司造成的灾难性影响,凸显了企业目前在强化数字环境方面所面临的挑战。例如,IDC 的一项调查显示,虽然2022 年一年内全球就有超过 1,000 万人和 1,700 家实体受到开源软件供应链攻击的影响,但仍有87% 的受访者青睐继续使用开源组件来构建软件。使用开源代码的人日益增多,这带来不可否认的优势,促进合作开发,加快发展进程。然而,也必须认识到,这种整合存在风险。
开源代码的崛起: 一把双刃剑
有行业研究表明,82% 的开源软件组件因存在漏洞、安全问题、代码质量或可维护性问题而存在“固有风险”。该报告还显示,虽然企业中超过 70% 的软件是开源的,但这些组件往往没有得到追踪、维护、更新或清点,从而在软件供应链中留下了严重的漏洞,让威胁行为者有可乘之机。这些数据凸显出当下已成为软件创新与安全相融合的“节骨眼”。
在当今软件驱动的世界里,“唯快不破”的口号推动着软件开发,对软件开发和部署的速度提出更高的要求。开发人员要兼顾业务需求,而安全团队则要增加保护层,但这些措施可能会延长时间。尽管偷工减料的做法很具诱惑性,但 IDC 的智慧还是占了上风:“今天安全不意味着明天一定安全”。IDC 指出,在部署之后进行二进制漏洞修复,可能会花费数百万美元。更明智的做法是在部署软件之前,评估并解决安全问题,避免在高风险运行时造成影响。在创新无止境的时代,安全不是一种选择,而是成败的决定性因素。
开发人员的关键考量因素
软件开发过程错综复杂,为加速开发和部署安全软件,关键在于开发人员、运营团队和安全团队之间的协作。
开发人员需要考虑三大关键领域:
将安全工具无缝集成到开发工作流中,能够带来变革性优势。通过采用整合平台,无需管理众多不同的工具,能够简化运营,提高效率并推动协作。这种方法不仅能加快解决问题的速度,还能通过最大限度地减少漏洞来加强安全性。面对不断变化的威胁,整合平台的方式具有战略上的必要性,赋能公司应对挑战,同时增强自身整体安全态势。
确保软件供应链的安全: 强化,强化,再强化
当开发人员穿行于开源软件的动态环境中时,有一条基本原则至关重要 —— 安全必须渗透到软件供应链的方方面面。在软件开发生命周期的各个环节落实安全措施,就好比加固数字堡垒的城墙,防止入侵和漏洞。为实现更安全的未来,关键就在于拥有能够从一开始就扫描并阻止开源软件组件渗入软件供应链的强大工具。开发人员有责任在自身项目中优先考虑安全问题。他们利用所掌握的各种安全工具,就能创建一个创新与安全和谐共存的弹性生态系统。实现安全的开源代码不仅是一种责任,也证明了坚定的承诺——建立以协作、创新和安全为基础的数字环境。
好文章,需要你的鼓励
OpenAI 本周为 ChatGPT 添加了 AI 图像生成功能,用户可直接在对话中创建图像。由于使用量激增,CEO Sam Altman 表示公司的 GPU "正在融化",不得不临时限制使用频率。新功能支持工作相关图像创建,如信息图表等,但在图像编辑精确度等方面仍存在限制。值得注意的是,大量用户正在使用该功能创作吉卜力动画风格的图像。
Synopsys 近期推出了一系列基于 AMD 最新芯片的硬件辅助验证和虚拟原型设计工具,包括 HAPS-200 原型系统和 ZeBu-200 仿真系统,以及面向 Arm 硬件的 Virtualizer 原生执行套件。这些创新工具显著提升了芯片设计和软件开发的效率,有助于加快产品上市速度,满足当前 AI 时代下快速迭代的需求。
人工智能正在深刻改变企业客户关系管理 (CRM) 的方方面面。从销售自动化、营销内容生成到客服智能化,AI不仅提升了运营效率,还带来了全新的服务模式。特别是自主代理AI (Agentic AI) 的出现,有望在多渠道无缝接管客户服务职能,开创CRM发展新纪元。
数据孤岛长期困扰着组织,影响着人工智能的可靠性。它们导致信息分散、模型训练不完整、洞察力不一致。解决方案包括实施强大的数据治理、促进跨部门协作、采用现代数据集成技术等。克服数据孤岛对于充分发挥AI潜力至关重要。