网络安全公司 Endor Labs表示,微软已将旗下的软件成分析技术(英文缩写为SCA)以原生的方式整合到旗下的Microsoft Defender for Cloud 云原生应用保护平台中。
这意味着安全团队现在可以将应用安全和云安全项目整合到一个平台上及跨越软件开发和部署周期所有阶段的统一仪表板。
SCA是一种用于识别和管理软件应用程序中开源组件和依赖关系的流程。SCA侧重于分析软件代码库,进而检测第三方库、框架和开源组件的使用情况。CNAPP (云原生应用保护平台)保护云原生应用程序的方式是通过处理软件容器、Kubernetes 容器编排器、无服务器功能和微服务等的独特特性。
Endor Labs 周二表示,原生整合使团队能够将 SCA 发现与运行时警报进行关联,可以查看代码到运行时的攻击路径。这意味着他们可以在云环境中将开源软件依赖关系中发现的可利用漏洞追踪哪些潜在利用路径。这样就可以进行更有针对性的修复。
从代码追踪运行时漏洞还可以揭示一些难以发现的问题,例如一些在互联网可访问的云工作负载上使用的开源软件包中的可达漏洞。Defender for Cloud 用户可以看到完整的从提交的代码到云中运行时工作负载的攻击路径。
尽管根据 Endor Labs 的研究只有 9.5% 的漏洞可在特定应用程序环境中被利用,但团队要识别关键漏洞可能会非常困难。该公司的报告表示,风险往往没有被充分记录,只有 2% 的公共公告包含有关哪些库函数存在风险的信息。
安全团队现在可以利用 Defender for Cloud 整合,对他们发现的每个漏洞进行函数级可达性分析,并查看正在运行的应用程序中是否存在函数级可达的漏洞。发现了“可达”漏洞就表明开发人员的代码存在一些通过开源依赖关系到存在漏洞的库或函数的攻击路径。
Defender for Cloud整合目前处于公开预览阶段,将由 Azure市场提供。
好文章,需要你的鼓励
Kong Research发布的2025年企业大语言模型采用报告基于550名IT领导者调研,揭示了企业生成式AI从谨慎探索转向战略必需的十大趋势:投资大幅增长,72%企业预计支出上涨;谷歌以69%使用率领先OpenAI;企业偏好付费解决方案;安全隐私仍是主要障碍;国际供应商获得认可;混合策略兴起;客户支持和开发者生产力成主要应用场景;开源模型受青睐;成本仍是关键障碍;82%企业对AI影响持乐观态度。
麻省大学团队开发PatchInstruct方法,通过"补丁分解"技术让大型语言模型无需重新训练即可准确预测时间序列数据。该方法在天气和交通预测中表现优异,短期预测误差降低85%,速度提升100-500倍,为实时预测应用提供了轻量级、高效的解决方案,展现了通用AI适应专门任务的新可能。
GenLayer启动首个激励测试网Asimov,推出智能区块链基础设施。该平台结合AI模型和区块链技术,通过大语言模型验证器处理主观决策,为AI代理时代构建去中心化法律基础设施。同时发布Rally营销协议,利用AI自动评估社交媒体内容并分发奖励,品牌可设定规则让系统自主管理影响者营销活动,大幅降低运营成本并提高透明度。
布朗大学与Adobe研究院联合推出MS4UI数据集,专门解决软件教学视频的智能总结问题。该研究收集了2413个Adobe软件教程视频,提出视频分割、文本总结、视频总结三大任务,为软件学习AI开辟新方向。实验显示现有方法表现不佳,凸显了专业领域AI的技术挑战。