這個(gè)快速擴(kuò)展過(guò)程中有哪些特點(diǎn)和問(wèn)題��?JFrog大中華和日本地區(qū)總經(jīng)理董任遠(yuǎn)和JFrog中國(guó)技術(shù)總監(jiān)王青就《全球軟件供應(yīng)鏈發(fā)展報(bào)告》的發(fā)布進(jìn)行了解答����。
洞察軟件供應(yīng)鏈安全市場(chǎng)現(xiàn)狀
圍繞全球軟件供應(yīng)鏈安全和管理話題��,JFrog Research團(tuán)隊(duì)委托第三方調(diào)研了全球1224名安全、開(kāi)發(fā)����、運(yùn)維相關(guān)從業(yè)人員后形成的《全球軟件供應(yīng)鏈發(fā)展報(bào)告》中,指出了四大現(xiàn)狀���。
一是編程語(yǔ)言應(yīng)用廣泛���,行業(yè)特色明顯����。
數(shù)據(jù)顯示,53%的企業(yè)組織使用4-9種編程語(yǔ)言�,31%的企業(yè)組織使用十幾種編程語(yǔ)言;按軟件包類(lèi)型劃分�,Docker和NPM貢獻(xiàn)了最多的新軟件包,PyPI的貢獻(xiàn)也有所提高��;在生產(chǎn)發(fā)布軟件中使用最多的技術(shù)為Maven(后端應(yīng)用程序)���、NPM(前端應(yīng)用程序)��、Docker����、PyPI(用于AI/ML)、Go�����、Nuget�、Conan
(C/C++)和Helm,C和C++語(yǔ)言搞定全局已經(jīng)成為過(guò)去時(shí)���,容器化已經(jīng)成為主流����。
垂直行業(yè)往往使用常用的編程語(yǔ)言���,如汽車(chē)和物聯(lián)網(wǎng)公司使用Maven�����、NPM�����、Docker和PyPI�,并經(jīng)常將其中的許多技術(shù)捆綁成通用軟件包(tar/zip鏡像);機(jī)器人和AI/MLOps公司使用PyPI和提取自Hugging Face和TensorFlow等公共網(wǎng)站的ML模型���,同時(shí)也將這些模型存儲(chǔ)在容器或通用軟件包(tar/zip)中����,但他們現(xiàn)在也開(kāi)始為其ML模型采用Hugging Face這樣的原生倉(cāng)庫(kù)�;保險(xiǎn)、金融和零售企業(yè)使用Maven���、NPM和Docker等技術(shù)��,但隨著AI/ML的普及����,PyPI和ML模型也被用來(lái)提供更好的產(chǎn)品��。
錯(cuò)綜復(fù)雜的軟件工具意味著企業(yè)組織面臨著比以往更大的安全風(fēng)險(xiǎn)�����。選擇合適的軟件工具���、管理與監(jiān)控工作流程和實(shí)踐�����,可鞏固企業(yè)的安全態(tài)勢(shì)并確保持續(xù)增長(zhǎng)的競(jìng)爭(zhēng)優(yōu)勢(shì)���。
二是安全風(fēng)險(xiǎn)藏身之地出乎意料。
2023年��,全球安全研究機(jī)構(gòu)報(bào)告了超過(guò)2.6萬(wàn)個(gè)新的通用漏洞披露(CVE)����,數(shù)量繼續(xù)呈現(xiàn)增長(zhǎng)的趨勢(shì);不過(guò)�,在Docker Hub社區(qū)最受歡迎的100個(gè)鏡像中,被CVSS評(píng)分為“高?�!焙汀皣?yán)重”的CVE有74%實(shí)際上是不可利用的��。此外�,在企業(yè)的軟件供應(yīng)鏈中,人為操作失誤和機(jī)密泄露是主要的潛在風(fēng)險(xiǎn)���。
三是保護(hù)軟件供應(yīng)鏈安全缺乏明確聚焦�。
雖然企業(yè)組織都重視安全�����,但采用的對(duì)策卻大相徑庭。89%的安全��、開(kāi)發(fā)和運(yùn)維受訪人員表示�����,其所在的企業(yè)采用開(kāi)源軟件安全基金會(huì)(Open Source Security Foundation�,OpenSSF)的SLSA等安全框架,33%的企業(yè)組織使用10種及以上的軟件安全工具�����、47%使用4-9種軟件安全工具���。48%的受訪者表示其代碼掃描是手工方式而非自動(dòng)掃描��,僅有1%的受訪者表示其代碼審查實(shí)現(xiàn)了完全的自動(dòng)化。最終結(jié)果導(dǎo)致60%的企業(yè)組織通常每個(gè)月要用4天及以上時(shí)間來(lái)修復(fù)應(yīng)用程序漏洞�。
四是AI/ML的安全性正在引發(fā)高度關(guān)注。
AI/ML給人們工作生活帶來(lái)很大的幫助����,但它也有兩面性�����。94%受訪者所在的企業(yè)組織正采取措施審查開(kāi)源機(jī)器學(xué)習(xí)模型的安全性和合規(guī)性��,90%的受訪者表示正在使用AI/ML應(yīng)用來(lái)協(xié)助開(kāi)展安全工作��,近五分之一的受訪者所在的企業(yè)組織不允許使用AI/ML來(lái)編寫(xiě)代碼���,其中最不可能在軟件開(kāi)發(fā)過(guò)程中使用AI和ML的企業(yè)和組織,主要來(lái)自法國(guó)和英國(guó)��。
綜上可知�����,企業(yè)組織在管理軟件供應(yīng)鏈風(fēng)險(xiǎn)方面����,面對(duì)的是每年以萬(wàn)計(jì)遞增的CVE,惡意軟件包的數(shù)量也越來(lái)越多���,并非每個(gè)CVE都適用于企業(yè)的軟件�、也不像最初以為的嚴(yán)重;編程過(guò)程中常見(jiàn)的人為失誤可能為組織帶來(lái)新的風(fēng)險(xiǎn)��。
Gartner的最新預(yù)測(cè)顯示����,2024年,全球終端用戶(hù)在安全和風(fēng)險(xiǎn)管理方面的支出預(yù)計(jì)將達(dá)到2150億美元�����,較2023年增長(zhǎng)14.3%��。這對(duì)企業(yè)而言�,無(wú)疑是一筆巨大的開(kāi)支。
在開(kāi)源和安全中尋找平衡
意外造成的CVE是開(kāi)源軟件供應(yīng)鏈潛在風(fēng)險(xiǎn)的最大來(lái)源���,例如�,對(duì)NPM的分析顯示�����,僅在2022年下半年到2023年上半年����,引入開(kāi)源生態(tài)系統(tǒng)的惡意軟件包數(shù)量從3134增加到6561個(gè),增加了一倍以上����。
在通過(guò)開(kāi)源生態(tài)系統(tǒng)引入漏洞方面,并非所有的軟件技術(shù)都表現(xiàn)一樣�。雖然Debian和RPM的漏洞最多,但NPM和PyPI的嚴(yán)重CVE漏洞占比最大��,其次是Maven����。大多數(shù)的Debian和Alpine代碼庫(kù)都是C/C++代碼和Linux。由于二者都是Linux系統(tǒng)��,用戶(hù)很可能會(huì)在這兩種軟件包類(lèi)型中發(fā)現(xiàn)相同的漏洞����,Debian的漏洞更多,因?yàn)樗膽?yīng)用更為廣泛�����,貢獻(xiàn)的軟件包也更多���。
但是���,存在CVE并不一定意味著該軟件包不能使用�,更要緊的是監(jiān)控和防止惡意軟件包進(jìn)入軟件供應(yīng)鏈��,因?yàn)榧词怪皇窍螺d這些軟件包也可能使企業(yè)遭受攻擊�����。攻擊者也意識(shí)到��,開(kāi)源軟件包和使用這些軟件包的開(kāi)發(fā)人員是安全漏洞的“黃金通行證”���。他們的攻擊方式往往是利用CVE帶來(lái)的缺陷(通常是使用開(kāi)源軟件包的開(kāi)發(fā)人員無(wú)意中造成)�����,或者引入他們自己的惡意軟件包��,偽裝成安全的開(kāi)源組件��。
以科學(xué)的預(yù)防措施降低和規(guī)避風(fēng)險(xiǎn)
沒(méi)有“一刀切”的安全解決方案�����。
使用多種掃描工具和單點(diǎn)式解決方案會(huì)導(dǎo)致漏洞修復(fù)效率低下和數(shù)據(jù)重復(fù)���,通常會(huì)使團(tuán)隊(duì)偏離目標(biāo)����,以至于把注意力集中于可能并不相關(guān)的漏洞�����。JFrog為開(kāi)發(fā)流程中使用和生成的所有軟件包提供了單一可信來(lái)源�����,助力企業(yè)實(shí)現(xiàn)全自動(dòng)質(zhì)量控制���,確保軟件達(dá)到最高水平的安全性和合規(guī)性。
事實(shí)上�����,92%的專(zhuān)業(yè)人士表示��,他們的企業(yè)至少有一個(gè)解決方案監(jiān)測(cè)惡意的開(kāi)源包�,這表明他們都有惡意開(kāi)源包的掃描工具了。
89%的受訪者表示�,他們已經(jīng)采用了OpenSSF SLSA——這是谷歌主導(dǎo)�、由OSSF推廣的�、在國(guó)際上擁有較高接受程度的一個(gè)軟件供應(yīng)鏈安全標(biāo)準(zhǔn);國(guó)內(nèi)也有企業(yè)在逐漸落地該安全標(biāo)準(zhǔn)來(lái)管理軟件供應(yīng)鏈安全�����。
41%的開(kāi)發(fā)人員表示采取安全措施的最佳階段之一是引入開(kāi)源軟件時(shí)��;42%的開(kāi)發(fā)人員認(rèn)為����,編寫(xiě)代碼是軟件開(kāi)發(fā)生命周期中采取安全措施的最佳階段之一。因此安全左移還有很大的發(fā)展空間�����。
調(diào)查顯示���,在構(gòu)建時(shí)和編碼時(shí)進(jìn)行安全掃描的企業(yè)組織占比均為59%���;58%的公司進(jìn)行動(dòng)態(tài)應(yīng)用程序安全測(cè)試,但這一過(guò)程耗時(shí)比較長(zhǎng)�����,靜態(tài)應(yīng)用程序安全測(cè)試占到61%。同時(shí)��,軟件構(gòu)成分析的測(cè)試占比58%���。
得益于JFrog提供的軟件構(gòu)成分析的快速掃描方式�����,56%的企業(yè)在源代碼和二進(jìn)制文件層面實(shí)現(xiàn)了API安全掃描。
JFrog的價(jià)值遠(yuǎn)不止于此���。
在抵消來(lái)自漏洞的影響方面���,JFrog安全團(tuán)隊(duì)對(duì)來(lái)自互聯(lián)網(wǎng)及Docker Hub上的212個(gè)CVE樣本進(jìn)行調(diào)研后,將85%的“嚴(yán)重”CVE和73%的“高?!盋VE不合理的評(píng)級(jí)進(jìn)行了下調(diào)甚至忽略。這意味著研發(fā)團(tuán)隊(duì)可以將更多寶貴的開(kāi)發(fā)時(shí)間用于提升商業(yè)價(jià)值的任務(wù)活動(dòng)�。支持這一功能的是JFrog的Advanced Security(JAS),它在軟件漏洞掃描形勢(shì)分析基礎(chǔ)之上增加了上下文的分析�����,確定某個(gè)包可被利用的或者不可被利用�。
在大模型與AI領(lǐng)域�����,盡管9成受訪者表示他們的掃描工具支持AI或以AI工具來(lái)協(xié)助安全掃描與修復(fù)���,32%的企業(yè)受訪者表示使用Copilot等AI工具協(xié)助代碼生成,但因?yàn)镃hatGPT產(chǎn)生的代碼可能存在漏洞��,而任何人都可以上傳大模型知識(shí)進(jìn)行訓(xùn)練�。在這一前提下,黑客會(huì)預(yù)置一些惡意的包上傳到Docker Hub去訓(xùn)練GPT模型把答案鏈接指向惡意包的位置�,導(dǎo)致用戶(hù)在不知情的情況下被引導(dǎo)到惡意的倉(cāng)庫(kù)去下載。
Docker Hub是目前世界上最主流��、專(zhuān)門(mén)用于管理Docker鏡像的最大的互聯(lián)網(wǎng)倉(cāng)庫(kù)�。JFrog與Docker聯(lián)合調(diào)研發(fā)現(xiàn)了460萬(wàn)個(gè)沒(méi)有容器數(shù)據(jù)的Docker Hub存儲(chǔ)庫(kù)(又名“無(wú)鏡像”)。這些無(wú)鏡像存儲(chǔ)庫(kù)絕大多數(shù)都是帶著惡意目的——它們的概述頁(yè)面試圖欺騙用戶(hù)訪問(wèn)釣魚(yú)網(wǎng)站或托管著危險(xiǎn)惡意軟件的網(wǎng)站�����。JFrog還識(shí)別到了近300萬(wàn)個(gè)存儲(chǔ)庫(kù)托管過(guò)惡意內(nèi)容���,包括通過(guò)自動(dòng)生成的賬戶(hù)上傳���、用于推廣盜版內(nèi)容的垃圾郵件���,以及惡意軟件和釣魚(yú)網(wǎng)站等,支持Docker對(duì)這些惡意倉(cāng)庫(kù)進(jìn)行了清理�,保護(hù)了用戶(hù)在下載時(shí)免遭惡意鏡像帶來(lái)的損失。
JFrog指出���,在使用Docker鏡像時(shí)決不能從Docker Hub隨心所欲地下載�����,可先使用JFrog的Curation(隔離倉(cāng)庫(kù))和Xray(安全掃描)功能,保證鏡像安全性和合規(guī)性���。
從側(cè)面來(lái)說(shuō)��,JFrog也推動(dòng)了互聯(lián)網(wǎng)鏡像下載的安全�。
扎根�����、服務(wù)中國(guó)市場(chǎng)
提起JFrog����,很多人第一印象是安全�,第二就是其不限制用戶(hù)數(shù)的特色����。JFrog正是通過(guò)這樣的方式切實(shí)幫助客戶(hù)在安全掃描、制品管理��、供應(yīng)鏈管理上提供統(tǒng)一�、高性?xún)r(jià)比的解決方案。
過(guò)去幾年里�,JFrog在全球?qū)崿F(xiàn)了25%的增長(zhǎng)。
中國(guó)是亞太區(qū)增長(zhǎng)最快的區(qū)域���,中日兩國(guó)共服務(wù)了500家客戶(hù)���,集中在金融、汽車(chē)��、互聯(lián)網(wǎng)和制造等行業(yè)�����。
針對(duì)中國(guó)市場(chǎng)蓬勃發(fā)展的智能駕駛等行業(yè)�,JFrog對(duì)產(chǎn)品進(jìn)行了優(yōu)化以及提供定制化的支持,以更好地滿(mǎn)足企業(yè)的高速發(fā)展以及出海需求。
伴隨越來(lái)越多的基礎(chǔ)架構(gòu)類(lèi)產(chǎn)品加速?lài)?guó)產(chǎn)化�,JFrog也在以更合適的解決方案適配這些產(chǎn)品,過(guò)去的一年里�����,JFrog全線產(chǎn)品已經(jīng)完成了國(guó)產(chǎn)信創(chuàng)的適配�����,不少客戶(hù)已經(jīng)直接將JFrog應(yīng)用到其信創(chuàng)環(huán)境中����。
