電子發(fā)燒友網(wǎng)報道（文/黃晶晶）AI大模型不僅能夠文生圖、文生視頻、人機對話等，還能夠幫助開發(fā)人員寫代碼，但這又出現(xiàn)另一個問題，ChatGPT產(chǎn)生的代碼也可能存在漏洞。可以說，全球軟件供應(yīng)鏈安全正面臨著更大的挑戰(zhàn)，AI爆發(fā)、大量應(yīng)用程序的出現(xiàn)以及企業(yè)內(nèi)部應(yīng)用AI等諸多新事物無不考驗著軟件開發(fā)者的抗風(fēng)險能力。

軟件安全又面臨新的問題

近日，JFrog公司的研究團隊專門針對全球供應(yīng)鏈安全問題經(jīng)過CVE公共漏洞披露分析，并委托第三方機構(gòu)調(diào)研1224名安全、開發(fā)、運維相關(guān)的從業(yè)人員，總結(jié)發(fā)布全球軟件供應(yīng)鏈發(fā)展報告。JFrog中國技術(shù)總監(jiān)王青在媒體活動上進行了報告的專業(yè)解讀。

報告指出，AI大模型不僅是前端的內(nèi)容生成，還包括模型、數(shù)據(jù)集、Python腳本等在容器環(huán)境里的運行，這就需要后端軟件供應(yīng)鏈的支撐。王青表示，例如以前主要用C和C++語言進行開發(fā)，現(xiàn)在使用多種開發(fā)語言。那么企業(yè)會關(guān)注到很多語言包使用時隱藏的風(fēng)險，以及面對已知的安全風(fēng)險需要花費多長時間和成本進行安全修復(fù)等。

根據(jù)JFrog Catalog數(shù)據(jù)，Docker 和npm 是對包類型貢獻最大的。軟件包的數(shù)量不斷增長，從而形成了一個日益龐大的軟件供應(yīng)鏈。垃圾郵件、惡意軟件包和相關(guān)風(fēng)險是新軟件包和庫中的自然組成部分，新版本的快速引入需要付出大量努力才能正確管理。

調(diào)研顯示，92%的專業(yè)人士認為，他們的企業(yè)至少有一個解決方案監(jiān)測惡意的開源包，89%的受訪者表示，他們已經(jīng)采用了OpenSSF SLSA的框架。這個框架為谷歌主導(dǎo)，是由開源軟件安全基金會（OpenSourceSecurityFoundation）推廣的一個軟件供應(yīng)鏈安全標準，該標準目前在國際上接受程度較高。在國內(nèi)，目前也有一些企業(yè)在逐漸落地中。

在開發(fā)人員里，42%的人表示最好在代碼編寫期間執(zhí)行安全掃描。此外，48%的受訪者表示，他們代碼掃描時是通手動檢查代碼，并非自動掃描。只有1%的受訪者表示代碼審查實現(xiàn)完全的自動化。



在報告中的安全實踐部分，59%的企業(yè)在構(gòu)建時進行安全掃描，編碼時進行安全掃描的企業(yè)占比同樣為59%，可見在開發(fā)階段進行安全掃描的比例比較高。

最常用的應(yīng)用程序安全解決方案部分，靜態(tài)應(yīng)用程序安全測試最多，占比61%。動態(tài)應(yīng)用程序安全測試，由于耗時比較長，有58%的公司進行這一安全測試；同時，軟件構(gòu)成分析測試占比58%；56%的企業(yè)實現(xiàn)API安全掃描。



在互聯(lián)網(wǎng)、Docker Hub上，JFrog調(diào)研了212個CVE樣本。JFrog安全團隊將85%的嚴重CVE和73%的高危CVE下調(diào)了評級。這就意味著研發(fā)團隊能夠避免付出額外精力關(guān)注漏洞分數(shù)虛高的漏洞。

JFrog在Docker Hub里分析了最受歡迎的100個鏡像，比如Tomcat、 Ubuntu、GDK這樣的下載量最高的鏡像，里面有很多CVSS評分的漏洞。在這些CVE漏洞中，JFrog的研究團隊發(fā)現(xiàn)了一個重大的數(shù)據(jù)，74%的漏洞實際是不可被利用的。這74%經(jīng)過JFrog掃描之后，顯示這些漏洞可以被忽略，從而讓研發(fā)從這些修復(fù)漏洞的工作中解放出來。

在對大模型AI領(lǐng)域進行調(diào)研時，90%的受訪者表示他們的掃描工具支持AI；90%的受訪者在某種程度上支持AI的工具來協(xié)助安全掃描或修復(fù)；有32%的企業(yè)受訪者表示大部分人可以使用Copilot等AI工具協(xié)助代碼生成，但是因為ChatGPT產(chǎn)生的代碼可能存在漏洞，超過半數(shù)的人認為這一行為有風(fēng)險。



王青說道，現(xiàn)在已有黑客利用大模型的“幻覺”來植入惡意的包。黑客會預(yù)置一些惡意的包，上傳到Docker Hub去訓(xùn)練GPT模型，告訴它在回答什么樣問題的時候，去把答案的鏈接指向惡意包的位置。通過這樣的惡意訓(xùn)練，用戶在不知情的情況下，可能會被引導(dǎo)到惡意的倉庫去下載這個惡意包，因此它是有風(fēng)險的。

JFrog安全掃描，阻斷惡意內(nèi)容

JFrog與Docker公司聯(lián)合進行的調(diào)研后，進行了Docker Hub的惡意無鏡像存儲庫的數(shù)據(jù)發(fā)布。JFrog在Docker Hub倉庫里發(fā)現(xiàn)了460萬個沒有容器數(shù)據(jù)的Docker Hub 存儲庫（又名“無鏡像”）。這些鏡像存儲庫里沒有鏡像，但是絕大多數(shù)都是帶著惡意目的，它們的概述頁面試圖欺騙用戶訪問釣魚網(wǎng)站或托管著危險惡意軟件的網(wǎng)站。比如，存儲庫在描述中包含了幾個鏈接，引導(dǎo)用戶訪問一個釣魚網(wǎng)站。該網(wǎng)站欺騙毫無戒心的訪問者，承諾為他們購買處方藥，但隨后卻竊取他們的信用卡信息。



JFrog識別到了近300萬個存儲庫托管過惡意內(nèi)容，包括通過自動生成的賬戶上傳的用于推廣盜版內(nèi)容的垃圾郵件，以及惡意軟件和釣魚網(wǎng)站等極度惡意的實體。在使用Docker鏡像時，一定不能從Docker Hub隨心所欲地下載。可以使用JFrog的Curation和Xray進行Docker掃描，保證鏡像安全性和合規(guī)性。

JFrog Curation能夠?qū)ocker Hub的鏡像惡意包阻斷在公司內(nèi)網(wǎng)之外，程序員無法下載惡意包進入到組織內(nèi)部。若不小心進入到公司內(nèi)網(wǎng)，還可以啟用JFrog Xray安全掃描，立刻對有漏洞的鏡像進行診斷。它是一種基于上下文的風(fēng)險分析掃描，若漏洞不可被利用，則可以放行這個鏡像的使用，因為它不會引起內(nèi)部使用的安全問題。

與市面上傳統(tǒng)的安全掃描公司不同，JForg的安全能力一路左移到開發(fā)者，從運維測試左移到開發(fā)者，甚至到開發(fā)者的工具（IDE）。同時，由于設(shè)置不同級別的阻斷，開發(fā)人員可基于公司策略的阻斷升級修復(fù)漏洞的版本，避免將漏洞傳遞到應(yīng)用后端。

王青表示，JFrog為制品庫平臺加上安全掃描工具，管理的是整個軟件供應(yīng)鏈的安全和軟件供應(yīng)鏈的提供商。也就是說客戶研發(fā)團隊用了JFrog的制品庫，就會自動獲得安全掃描的能力。這就給客戶減少了工具安全掃描維護和采購的成本。另外，JFrog不限制用戶數(shù)，切實地能夠幫助企業(yè)在安全掃描、制品管理、供應(yīng)鏈管理上提供統(tǒng)一的解決方案，且極具性價比。

JFrog針對汽車、信創(chuàng)以及企業(yè)出海等提供定制化支持

JFrog提供端到端的支持全語言的開發(fā)運維平臺，在全球服務(wù)7400多家客戶，在東亞區(qū)的中國及日本，服務(wù)了超過500家客戶，以各領(lǐng)域的頭部企業(yè)居多。超過83%的財富100強企業(yè)應(yīng)用了JFrog的軟件。在中國及日本地區(qū)，JFrog客戶主要分布于金融、制造業(yè)和互聯(lián)網(wǎng)行業(yè)。過去幾年，JFrog在全球?qū)崿F(xiàn)了25%的業(yè)務(wù)增長，中國是亞太區(qū)增長最快的市場。

JFrog大中華和日本地區(qū)總經(jīng)理董任遠表示，JFrog在中國的戰(zhàn)略是“in China，for China”。過去幾年，中國市場越來越多的基礎(chǔ)架構(gòu)類產(chǎn)品都已經(jīng)支持了國產(chǎn)化，其中包括芯片、服務(wù)器、數(shù)據(jù)庫以及中間件等。對于JFrog來說，在中國的戰(zhàn)略就是以更合適的解決方案適配這些產(chǎn)品。過去的一年，JFrog已經(jīng)完成了在中國的全線產(chǎn)品針對于國產(chǎn)信創(chuàng)產(chǎn)品的適配，我們也有很多客戶現(xiàn)在已經(jīng)直接將JFrog應(yīng)用到其信創(chuàng)環(huán)境當(dāng)中。

JFrog針對中國市場提供產(chǎn)品的優(yōu)化以及定制化的支持。比如JFrog針對汽車行業(yè)提出了一些新的解決方案，尤其是在制品庫以及在安全領(lǐng)域上，為了更好地滿足中國企業(yè)的高速發(fā)展以及企業(yè)出海的需求，JFrog都提供定制化的支持。