出品 | CSDN
手动检查代码还是主流!不到 1%受访者代码扫描审查实现完全自动化,75%-100%仍是手动检查代码;
关于 AI 安全:90% 受访者企业组织正在使用 AI/ML 应用来协助开展安全扫描或漏洞修复工作;
关于 AI 编程:32%企业允许使用 AI 编写代码,50%仅可将 AI 编程用于研究目的,17%出于安全和合规考虑,企业组织不允许使用 AI/ML 来编写代码。
虽然每个月的编程语言排行榜都会引发开发界最经典话题语言之争,不过企业开发的真实情况是多种编程语言、开发程序软件包、库并存的情况。软件交付与自动化软件厂商 JFrog 也在专注于提升企业软件供应链安全性,近日 JFrog 发布了《2024年全球软件供应链发展报告》,分享了针对企业软件研发新兴的发展趋势、行业风险以及保障企业软件供应链安全的最佳实践案例。
JFrog 大中华和日本地区总经理董任远分享了 JFrog 在中国及日本地区服务了约500 家客户,2023 年、2024年初,该区域是全球增长最快的区域,而其中中国地区又是亚太区增长最快的区域。JFrog 已经完成在中国的全线产品针对于国产信创产品的适配,用户可以直接将 JFrog 应用到其信创环境当中。
JFrog 的《2024年全球软件供应链发展报告》结合了超过7000家企业的 JFrog Artifactory 开发者使用数据、JFrog 安全研究团队原创的 CVE 分析、以及委托第三方对全球1200名技术专业人士进行的调查数据,旨在为快速发展的软件供应链领域提供信息参考。
报告里重要的内容非常多,其中重点分析了人工智能 (AI) 和机器学习 (ML) 将对企业引入新软件的内容、代码的编写方式以及软件应用程序的保护方式产生深远影响,例如报告数据显示,90% 受访者企业组织正在使用 AI/ML 应用来协助开展安全扫描或漏洞修复工作。
另外报告中提到 Hugging Face 在 JFrog 中的使用还处于早期阶段,不过 AI 开发已经兴起,构建 ML 新模型时广泛使用的 PyPI 和 Conan 等主流软件包的采用率稳步增长。进一步对于 AI 编程,企业的阶段和做法则各不相同,报告数据显示仅32%企业允许使用 AI 编写代码,50%仅可将 AI 编程用于研究目的,17%出于安全和合规考虑,企业组织不允许使用 AI/ML 来编写代码。
虽然 AI 研发的需求旺盛,不过安全仍是需要重视的,报告也给出了具体建议:企业组织需要迅速行动,采取 ML 模型使用的安全最佳实践,例如扫描开源 ML 模型,将 ML 模型开发安全地引入 SDLC 软件研发生命周期中。
《2024年全球软件供应链发展报告》主要研究结果还包括:
- 并非所有 CVE 都如表面所见:传统的 CVSS 评级仅关注漏洞利用的严重性,而非其被利用的可能性,后者需要结合具体情境才能做出有效的评估。JFrog 安全研究团队在分析了2023年发现的212个高知名度 CVE 后,平均将85%的“严重”CVE 和73%的“高危”CVE 的重要性评级下调。此外,JFrog 发现,在报告的前100个 Docker Hub 社区镜像中,74%的 CVSS 评级为“高危”和“严重”的常见 CVE 实际上是无法被利用的。
- 拒绝服务(DoS)攻击盛行:JFrog 安全研究团队分析的212个高知名度 CVE 中,有44%存在发起 DoS 攻击的潜在威胁;17%存在执行远程代码(RCE)的潜在威胁。这对于安全组织来说是个好消息,因为 RCE 由于能够提供对后端系统的完全访问权限,与 DoS 攻击相比,其危害性更大。
- 安全问题会影响工作效率:40%的受访者表示,通常需要一周或更长时间才能获得使用新软件包/库的批准,这延长了新应用程序和软件更新的上市时间。此外,安全团队大约耗费25%的时间用于修复漏洞,即使这些漏洞的风险在当前情况下可能被高估或甚至无法被利用。
- 在软件开发生命周期(SLDC)中采用安全检查方式的差异性 —— 当涉及到决定在软件开发生命周期中的哪个阶段采取应用安全测试时,行业内存在明显分歧,这突显了同时进行左移和右移的重要性。42%的开发人员表示,最好在编写代码过程中执行安全扫描,而41%的开发人员认为最好在新软件包从开源软件(OSS)库引入企业之前执行扫描。
- 安全工具的过度使用现象仍在持续 —— 近半数IT专业人士(47%)表示他们部署了四到九种应用安全解决方案。然而,有三分之一的调查对象和安全专业人士(33%)表示,他们正在使用十种乃至更多的应用安全解决方案。这一现象反映出市场对于安全工具整合的需求趋势,同时也表明人们正逐渐放弃单一的点对点解决方案,转而寻求综合性更高的安全工具集成。
- AI/ML 工具在安全领域的应用不成比例 —— 尽管有90%的受访者表示,他们的企业目前以某种形式使用AI/ML驱动的工具来协助安全扫描和修复工作,但只有三分之一的专业人士(32%)表示他们的组织使用AI/ML工具来编写代码。这反映出业内大多数人对AI生成的代码可能会为企业软件带来的潜在安全隐患仍持审慎态度。
报告中重要的内容还有很多,能够看到报告不仅仅在于分析趋势,更可以帮助技术业务领导者在针对 AI 导航、恶意代码或安全解决方案等方面制定决策时,提供清晰指导和专业技术咨询。CSDN 将持续关注报道 JFrog 最新进展与内容。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
