電子發(fā)燒友網報道（文/黃晶晶）AI大模型不僅能夠文生圖、文生視頻、人機對話等，還能夠幫助開發(fā)人員寫代碼，但這又出現另一個問題，ChatGPT產生的代碼也可能存在漏洞?？梢哉f，全球軟件供應鏈安全正面臨著更大的挑戰(zhàn)，AI爆發(fā)、大量應用程序的出現以及企業(yè)內部應用AI等諸多新事物無不考驗著軟件開發(fā)者的抗風險能力。

軟件安全又面臨新的問題

近日，JFrog公司的研究團隊專門針對全球供應鏈安全問題經過CVE公共漏洞披露分析，并委托第三方機構調研1224名安全、開發(fā)、運維相關的從業(yè)人員，總結發(fā)布全球軟件供應鏈發(fā)展報告。JFrog中國技術總監(jiān)王青在媒體活動上進行了報告的專業(yè)解讀。

報告指出，AI大模型不僅是前端的內容生成，還包括模型、數據集、Python腳本等在容器環(huán)境里的運行，這就需要后端軟件供應鏈的支撐。王青表示，例如以前主要用C和C++語言進行開發(fā)，現在使用多種開發(fā)語言。那么企業(yè)會關注到很多語言包使用時隱藏的風險，以及面對已知的安全風險需要花費多長時間和成本進行安全修復等。

根據JFrog Catalog數據，Docker 和npm 是對包類型貢獻最大的。軟件包的數量不斷增長，從而形成了一個日益龐大的軟件供應鏈。垃圾郵件、惡意軟件包和相關風險是新軟件包和庫中的自然組成部分，新版本的快速引入需要付出大量努力才能正確管理。

調研顯示，92%的專業(yè)人士認為，他們的企業(yè)至少有一個解決方案監(jiān)測惡意的開源包，89%的受訪者表示，他們已經采用了OpenSSF SLSA的框架。這個框架為谷歌主導，是由開源軟件安全基金會（OpenSourceSecurityFoundation）推廣的一個軟件供應鏈安全標準，該標準目前在國際上接受程度較高。在國內，目前也有一些企業(yè)在逐漸落地中。

在開發(fā)人員里，42%的人表示最好在代碼編寫期間執(zhí)行安全掃描。此外，48%的受訪者表示，他們代碼掃描時是通手動檢查代碼，并非自動掃描。只有1%的受訪者表示代碼審查實現完全的自動化。



在報告中的安全實踐部分，59%的企業(yè)在構建時進行安全掃描，編碼時進行安全掃描的企業(yè)占比同樣為59%，可見在開發(fā)階段進行安全掃描的比例比較高。

最常用的應用程序安全解決方案部分，靜態(tài)應用程序安全測試最多，占比61%。動態(tài)應用程序安全測試，由于耗時比較長，有58%的公司進行這一安全測試；同時，軟件構成分析測試占比58%；56%的企業(yè)實現API安全掃描。



在互聯網、Docker Hub上，JFrog調研了212個CVE樣本。JFrog安全團隊將85%的嚴重CVE和73%的高危CVE下調了評級。這就意味著研發(fā)團隊能夠避免付出額外精力關注漏洞分數虛高的漏洞。

JFrog在Docker Hub里分析了最受歡迎的100個鏡像，比如Tomcat、 Ubuntu、GDK這樣的下載量最高的鏡像，里面有很多CVSS評分的漏洞。在這些CVE漏洞中，JFrog的研究團隊發(fā)現了一個重大的數據，74%的漏洞實際是不可被利用的。這74%經過JFrog掃描之后，顯示這些漏洞可以被忽略，從而讓研發(fā)從這些修復漏洞的工作中解放出來。

在對大模型AI領域進行調研時，90%的受訪者表示他們的掃描工具支持AI；90%的受訪者在某種程度上支持AI的工具來協助安全掃描或修復；有32%的企業(yè)受訪者表示大部分人可以使用Copilot等AI工具協助代碼生成，但是因為ChatGPT產生的代碼可能存在漏洞，超過半數的人認為這一行為有風險。



王青說道，現在已有黑客利用大模型的“幻覺”來植入惡意的包。黑客會預置一些惡意的包，上傳到Docker Hub去訓練GPT模型，告訴它在回答什么樣問題的時候，去把答案的鏈接指向惡意包的位置。通過這樣的惡意訓練，用戶在不知情的情況下，可能會被引導到惡意的倉庫去下載這個惡意包，因此它是有風險的。

JFrog安全掃描，阻斷惡意內容

JFrog與Docker公司聯合進行的調研后，進行了Docker Hub的惡意無鏡像存儲庫的數據發(fā)布。JFrog在Docker Hub倉庫里發(fā)現了460萬個沒有容器數據的Docker Hub 存儲庫（又名“無鏡像”）。這些鏡像存儲庫里沒有鏡像，但是絕大多數都是帶著惡意目的，它們的概述頁面試圖欺騙用戶訪問釣魚網站或托管著危險惡意軟件的網站。比如，存儲庫在描述中包含了幾個鏈接，引導用戶訪問一個釣魚網站。該網站欺騙毫無戒心的訪問者，承諾為他們購買處方藥，但隨后卻竊取他們的信用卡信息。



JFrog識別到了近300萬個存儲庫托管過惡意內容，包括通過自動生成的賬戶上傳的用于推廣盜版內容的垃圾郵件，以及惡意軟件和釣魚網站等極度惡意的實體。在使用Docker鏡像時，一定不能從Docker Hub隨心所欲地下載。可以使用JFrog的Curation和Xray進行Docker掃描，保證鏡像安全性和合規(guī)性。

JFrog Curation能夠將Docker Hub的鏡像惡意包阻斷在公司內網之外，程序員無法下載惡意包進入到組織內部。若不小心進入到公司內網，還可以啟用JFrog Xray安全掃描，立刻對有漏洞的鏡像進行診斷。它是一種基于上下文的風險分析掃描，若漏洞不可被利用，則可以放行這個鏡像的使用，因為它不會引起內部使用的安全問題。

與市面上傳統(tǒng)的安全掃描公司不同，JForg的安全能力一路左移到開發(fā)者，從運維測試左移到開發(fā)者，甚至到開發(fā)者的工具（IDE）。同時，由于設置不同級別的阻斷，開發(fā)人員可基于公司策略的阻斷升級修復漏洞的版本，避免將漏洞傳遞到應用后端。

王青表示，JFrog為制品庫平臺加上安全掃描工具，管理的是整個軟件供應鏈的安全和軟件供應鏈的提供商。也就是說客戶研發(fā)團隊用了JFrog的制品庫，就會自動獲得安全掃描的能力。這就給客戶減少了工具安全掃描維護和采購的成本。另外，JFrog不限制用戶數，切實地能夠幫助企業(yè)在安全掃描、制品管理、供應鏈管理上提供統(tǒng)一的解決方案，且極具性價比。

JFrog針對汽車、信創(chuàng)以及企業(yè)出海等提供定制化支持

JFrog提供端到端的支持全語言的開發(fā)運維平臺，在全球服務7400多家客戶，在東亞區(qū)的中國及日本，服務了超過500家客戶，以各領域的頭部企業(yè)居多。超過83%的財富100強企業(yè)應用了JFrog的軟件。在中國及日本地區(qū)，JFrog客戶主要分布于金融、制造業(yè)和互聯網行業(yè)。過去幾年，JFrog在全球實現了25%的業(yè)務增長，中國是亞太區(qū)增長最快的市場。

JFrog大中華和日本地區(qū)總經理董任遠表示，JFrog在中國的戰(zhàn)略是“in China，for China”。過去幾年，中國市場越來越多的基礎架構類產品都已經支持了國產化，其中包括芯片、服務器、數據庫以及中間件等。對于JFrog來說，在中國的戰(zhàn)略就是以更合適的解決方案適配這些產品。過去的一年，JFrog已經完成了在中國的全線產品針對于國產信創(chuàng)產品的適配，我們也有很多客戶現在已經直接將JFrog應用到其信創(chuàng)環(huán)境當中。

JFrog針對中國市場提供產品的優(yōu)化以及定制化的支持。比如JFrog針對汽車行業(yè)提出了一些新的解決方案，尤其是在制品庫以及在安全領域上，為了更好地滿足中國企業(yè)的高速發(fā)展以及企業(yè)出海的需求，JFrog都提供定制化的支持。