在生成式AI下，软件供应链安全升级更加迫切

电子爱好者网报道(文章 / 黄晶晶）AI 大型模型不但可以使用文生图、文生视频、人机对换等，还可以帮助开发者敲击代码，但是这又出现了一个问题，ChatGPT 代码的产生也可能存在漏洞。全球软件供应链的安全性可以说面临着更大的挑战，AI 爆发，大量应用程序的出现，公司内部应用 AI 等待许多新事物都考验着软件开发者的抗风险能力。

软体安全又面临着新的问题

近日，JFrog 专门针对全球产业链安全问题的企业研究团队 CVE 分析公共漏洞披露，委托第三方机构进行研究 1224 名称安全、开发、运维相关从业人员，总结发布全球软件供应链发展报告。JFrog 在媒体活动中，中国技术主管王青对报告进行了专业解读。

报告指出，AI 大型模型不仅是前端内容的生成，还包括模型、数据、Python 脚本在器皿环境中运行，需要后端软件供应链的支持。王青说，例如，以前主要使用它。 C 和 C 设计语言，现在使用多种编程语言。因此，企业在使用语言包时会注意到许多隐藏的风险，以及面对已知的安全风险需要多长时间和费用进行安全修复等。

根据 JFrog Catalog 数据，Docker 和 npm 这是对包类型最大的贡献。程序包的总数不断增加，从而形成了一个日益庞大的软件供应链。垃圾邮件、恶意程序包和相关风险是新程序包和数据库的自然组成部分。新版本的快速引入需要付出很大的努力才能正确管理。

研究表明，92% 专家认为，他们的公司至少有一个恶意开源包来监控恶意开源包，89% 一些受访者说，他们已经使用了。 OpenSSF SLSA 的框架。这一框架以谷歌为主，由开源软件安全基金会主导（Open Source Security Foundation）软件供应链安全标准的普及，目前国际上对其接受程度较高。目前国内也有一些企业在慢慢落地。

42%的开发人员 有人说，在编写代码时，最好进行安全扫描。另外，48% 受访者表示，他们在扫描代码时通过手动检查代码，而不是自动扫描。只有 1% 受访者表示，代码审查实现了完全自动化。

报告中的安全实践部分，59% 公司成立时进行安全扫描，编码时进行安全扫描的公司比例也是如此。 59%，可以看出在开发阶段进行安全扫描的比例很高。

最为常用的应用安全解决方案部分，静态应用安全检测最多，占比最大， 61%。由于耗时较长、有时间、有时间，动态应用程序安全检测 58% 该安全测试由企业进行；同时，软件构成分析测试的比例 58%；56% 的企业实现 API 安全扫描。

在互联网、Docker Hub 上，JFrog 调研了 212 个 CVE 样本。JFrog 安全团队将 85% 的严重 CVE 和 73% 的高危 CVE 降低评级。这意味着R&D部门可以避免额外关注漏洞成绩虚高的漏洞。

在对大模型 AI 90%的领域在进行调查时， 受访者表示，他们的扫描工具支持 AI；90% 在一定程度上支持受访者 AI 帮助安全扫描或修复的工具； 32% 该公司的受访者表示，大多数人可以使用 Copilot 等 AI 由于工具帮助代码生成， ChatGPT 代码的产生可能存在漏洞，超过一半的人认为这种行为是有风险的。

JFrog 安全性扫描，阻止恶意内容

JFrog 与 Docker 经过公司联合调查， Docker Hub 发布恶意无镜像存储库的数据。JFrog 在 Docker Hub 在仓库里找到了 460 一万个没有器皿数据的 Docker Hub 存储库(又称“无镜像”)。这些镜像存储库没有镜像，但大部分都是恶意的。他们的简介页面试图欺骗用户访问欺诈网站或管理危险恶意程序网站。举例来说，存储库在描述中包含了几个链接，引导用户浏览欺诈网站。这个网站欺骗了毫无戒心的访问者，承诺给他们买处方药，但是后来却偷走了他们的信用卡信息。

不像市场上传统的安全扫描企业，JForg 从运维检测到开发人员，甚至是开发人员的工具，安全能力一路左移到开发人员，（IDE）。与此同时，由于设置了不同级别的阻隔，开发者可以根据公司战略的阻隔升级修复漏洞版本，避免将漏洞传递到应用后端。

王青表示，JFrog 在产品库平台上添加安全扫描工具，管理整个软件供应链的安全和软件供应链的供应商。换言之，客户R&D部门已经使用 JFrog 产品库，将自动获得安全扫描能力。这样就降低了工具安全扫描维护和采购成本。此外，JFrog 不限用户数量，切实可以帮助企业在安全扫描、产品管理、供应链管理等方面提供统一的解决方案，而且非常划算。

JFrog 为汽车、信创、企业出海等提供定制支持。

JFrog 为端到端提供支持全语言的R&D运维平台，为全球服务 7400 在东亚区的中国和日本，很多客户都服务过。 500 家庭客户，主要是各个领域的龙头企业。超出 83% 的财富 100 强大的企业应用 JFrog 的软件。在中国和日本，JFrog 客户主要分布在金融、制造和互联网行业。最近几年，JFrog 已经在世界范围内完成 25% 业务增长，中国是亚太区增长最快的市场。

JFrog 日本大中华地区总经理董任远表示，JFrog “中国的战略是” in China，for China "。近年来，芯片、服务器、数据库、中间件等产业化得到了中国市场越来越多的基础架构产品的支持。对于 JFrog 在中国，战略就是用更合适的解决方案来适应这类产品。过去的一年，JFrog 我们已经完成了中国所有产品对国产信创产品的适应，现在我们有很多客户直接把它们 JFrog 应用于其信创环境中。

JFrog 为中国市场提供商品优化和定制支持。比如 JFrog 为了更好地满足中国企业的蓬勃发展和企业出海的需要，对汽车行业提出了一些新的解决方案，尤其是在产品库和安全领域，JFrog 全部提供定制支持。

阅读更多热门文章

加关注 星标我们

把我们设为星标，不要错过每一次更新！

喜欢就奖励一个“在看”！

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com