BSIMM13报告显示加强软件供应链安全实践显著增加
许多企业已经开始使用软件组成分析(SCA)工具来应对软件供应链风险管理挑战,以管理开源代码风险。在未来,企业将面临新的挑战,这可能涉及API攻击,也可能是一些之
前从未出现过的威胁。唯一可以确定的是,业界将面对更多的挑战,软件安全计划必须为应对这些挑战做好准备。了解重要的应用安全趋势可以帮助企业对自身安全工作做好战略性的改进规划。
新思科技(Synopsys, Nasdaq: SNPS)发布其最新版本的软件安全构建成熟度模型(BSIMM)的第13版——BSIMM13。该报告分析了Adobe、PayPal 和联想在内的130家企业的软件安全实践。BSIMM13涵盖了410,000多名开发人员为软件安全做出长期努力的成果,他们构建和维护了超过145,000个应用程序。
报告强调了越来越多的 BSIMM 成员企业正在实施安全“无处不移”的策略,以在整个软件开发生命周期 (SDLC) 中执行自动、持续的安全测试,并管理其完整应用组合的风险。
新思科技软件质量与安全部门总经理Jason Schmitt表示:“BSIMM13的调研发现,随着软件供应链的关注度提升,大多数企业都在采用基于风险预防的措施以确保应用安全。他们意识到安全不局限于代码库。安全涵盖软件开发过程、安全审查和测试‘无处不移’,以持续提升安全性。报告还表明,BSIMM成员企业的软件安全计划正趋向成熟。他们现在正在寻找解决方案,以推动其计划的可扩展性、效率和整体有效性。”
BSIMM13 由新思科技软件质量与安全部门进行汇总分析,重点介绍了过去 12 个月内成员企业的软件安全计划的演变趋势,包括:
新思科技自2008年起发布BSIMM报告。该报告是一种成熟度模型,观察和量化软件安全人员执行的活动,以帮助更广泛的安全社区成员规划、执行和衡量自身的举措。BSIMM 数据来源于在评估期间与成员企业进行的深度访谈。在评估之后,观察数据被匿名化并添加到 BSIMM 数据池中,且在其中执行统计分析,以突出 BSIMM 成员企业如何保护其软件的趋势。
除了发布其年度报告外,BSIMM 还为成员企业搭建社区平台,通过社区讨论、博客、电子学习课程、网络研讨会和分享软件安全的独家内容等,与同行互动、学习最佳实践并获得对不断变化的商业环境的新见解。
联想基础设施解决方案事业部产品安全部执行董事Bill Jaeger表示:“在 2015 年加入 BSIMM 社区后,我们发现每年更新的报告洞察可以帮助联想规划和衡量安全计划。这对我们了解客户最重要的实践领域也具有重要价值。此外,BSIMM 社区本身就是一个极好的资源,成员们慷慨地分享经验。他山之石,可以攻玉。我们都踏上了相似的安全之旅,刚起步的企业可以借鉴已经有成果的企业的软件安全计划实践。”
好文章,需要你的鼓励
Adobe 周二宣布推出适用于 Android 系统的 Photoshop 应用测试版,提供与桌面版相似的图像编辑工具和 AI 功能,初期免费使用,旨在吸引更多偏好手机创作的年轻用户。
弗吉尼亚大学研究团队开发了TruthHypo基准和KnowHD框架,用于评估大语言模型生成生物医学假设的真实性及检测幻觉。研究发现大多数模型在生成真实假设方面存在困难,只有GPT-4o达到60%以上的准确率。通过分析推理步骤中的幻觉,研究证明KnowHD提供的基础依据分数可有效筛选真实假设。人类评估进一步验证了KnowHD在识别真实假设和加速科学发现方面的价值,为AI辅助科学研究提供了重要工具。
文章详细介绍了Character.AI这款主要面向娱乐、角色扮演和互动叙事的AI聊天工具的原理、用户群体、特色功能以及面临的法律与伦理争议,同时揭示了其新推出的视频和游戏互动体验。
亚马逊Nova责任AI团队与亚利桑那州立大学共同开发了AIDSAFE,这是一种创新的多代理协作框架,用于生成高质量的安全策略推理数据。不同于传统方法,AIDSAFE通过让多个AI代理进行迭代讨论和精炼,产生全面且准确的安全推理链,无需依赖昂贵的高级推理模型。实验证明,使用此方法生成的数据训练的语言模型在安全泛化和抵抗"越狱"攻击方面表现卓越,同时保持了实用性。研究还提出了"耳语者"代理技术,解决了偏好数据创建中的困难,为直接策略优化提供了更有效的训练材料。