作者: JFrog大中华区总经理董任远
新年立下新志向,开启新征程。对于 CISO 和 CSO们来说,这也意味着他们能够借此机会打造能把自身企业安全作为优先考量的解决方案。
去年,整个业界在加强软件供应链安全方面取得了显著进展,但安全团队在软件供应链方面仍然面临着许多潜在的威胁。AI/ML模型中恶意代码的猖獗使用、遭入侵的开源软件、漏洞利用等问题仍持续困扰着企业。
为在 2024 年确保软件供应链尽可能安全,安全专业人士必须在今年致力于做好以下五大关键,包括:
对于开源代码,在信任的同时要对其进行验证
安全领导者面临的最严峻挑战之一就是开源软件的威胁。许多开发者盲目信任来自公共开源代码库的软件,认为它们不存在安全和合规性问题。然而,未能对代码进行包含必要的安全控制等在内的正确审查以确保其始终处于最新状态,会使组织遭受软件供应链攻击的风险增高。
步入 2024 年,安全领导者必须在信任开发者开源编码实践的同时对其进行验证。安全风险往往始于开发者从这些公共资源库下载代码的那一刻。通过确保自始对代码进行充分审查,安全领导者就能主动减轻对软件供应链的威胁,避免造成不可挽回的损失。
警惕安全解决方案和代码开发中的AI/ML
2023年,人工智能的兴起推动了创新,但也引起了人们对安全问题的高度关注。软件开发安全方面的疏忽可能会无意中将恶意代码引入AI/ML 模型,让攻击者有机可乘,由此对企业造成进一步的损害。
开发者还可能会使用从公共 AI/ML 源生成的代码,而不知道模型是否已遭到入侵。如果盲目信任AI/ML 模型,就可能会给企业招致更多的漏洞——所有来自AI/ML 源的代码都必须经过审查。
无需对零日漏洞感到恐慌
2023 年,网络犯罪分子利用零日漏洞的速度创下了历史新高,而新的一年里,这一趋势还将持续。
面对零日攻击,安全团队常常会感到恐慌,不确定 CVE (关键漏洞披露)会产生怎样的影响。虽然CVE可能存在于他们的软件中,但也完全有可能在极端特殊情况下被利用,而这些情况并不适用于该企业。在这种情况下,可能会无缘无故地对最终用户实施耗时且可能具有破坏性的补丁。
今年,CISO 和 CSO 们在采取行动之前,需要先了解 CVE 及其与企业的关系。盲目修补可能弊大于利,而将 CVE 与具体情况联系起来,则有助于更好地保护企业并明确真正需要采取的行动。
将 SBOM 作为必备要素纳入安全战略
SBOM 已成为安全领导者使用的重要 DevSecOps 工具,因其能为用户提供更快的识别方法,缩短恢复时间,提高代码修复的效率和效力,并在更严格的监管环境中增强合规性。
SBOM 可以系统性地跟踪每个应用程序中存在的组件,以及应用程序运行所需的依赖项,使安全团队能够准确地查看在发生漏洞利用时受到影响的系统。此外,在 2024 年,网络安全监管环境还将继续收紧,这使得 SBOM 不再只是“锦上添花”的存在,而且是确保遵守新规则的必需。
采取“左移”战略
对于安全领导者来说,落实上述所有的解决方案可能是一项艰巨的任务,这也是为什么CSO 和 CISO 们在 2024 年必须采用“左移”的方法来确保安全性。
通过从一开始就将安全纳入软件开发,安全领导者可以确保为其软件供应链建立更加积极主动的防线。这样,他们在软件开发中使用开源或公开开发的 AI/ML 代码时就更具灵活性,可以更好地控制为其企业而构建的AI/ML 模型,确保尽可能降低CVE 漏洞利用的可能性,并提高了 SBOM 的有效性。
步入2024 年并展望更远的未来,软件领域的复杂性只会有增无减。通过在软件供应链安全方面采取“左移”思维,CISO 和 CSO 们可以确保企业更强大、更具韧性,以应对新的安全挑战。
好文章,需要你的鼓励
当前软件工程团队正在试验基于AI代理的编码工具和大语言模型,以提高开发速度和质量。然而,AI编码工具的效果很大程度上取决于使用方式。开发者需要提供结构化的问题描述、明确的执行要求和相关上下文,同时建立适当的防护机制。AI不仅能处理重复性任务,还能识别和评估替代方案,从被动助手演进为工作流程推进器。成功的关键在于将AI视为合作伙伴而非快捷工具,并将其整合到软件交付的全生命周期中。
NVIDIA研究团队开发出名为Lyra的AI系统,能够仅凭单张照片生成完整3D场景,用户可自由切换观察角度。该技术采用创新的"自蒸馏"学习方法,让视频生成模型指导3D重建模块工作。系统还支持动态4D场景生成,在多项测试中表现优异。这项技术将大大降低3D内容创作门槛,为游戏开发、电影制作、VR/AR应用等领域带来重大突破。
Salesforce发布企业级AI智能体平台Agentforce 360,将AI智能体融入几乎所有应用中。该平台采用混合推理引擎Atlas,结合大语言模型的概率思维和业务规则的精确性,支持语音交互和深度集成。以Slack为主要界面,提供Agentforce Builder开发环境,能将非结构化文档转换为可查询记录。Salesforce内部已部署该系统,每周处理180万次对话,主动服务活动增长40%。
谷歌DeepMind团队创新性地让Gemini 2.5模型在无需训练的情况下学会理解卫星多光谱图像。他们将复杂的12波段卫星数据转换为6张可理解的伪彩色图像,配以详细文字说明,使通用AI模型能够准确分析遥感数据。在多个基准测试中超越现有模型,为遥感领域AI应用开辟了全新道路。