這個(gè)快速擴(kuò)展過程中有哪些特點(diǎn)和問題?JFrog大中華和日本地區(qū)總經(jīng)理董任遠(yuǎn)和JFrog中國技術(shù)總監(jiān)王青就《全球軟件供應(yīng)鏈發(fā)展報(bào)告》的發(fā)布進(jìn)行了解答��。
洞察軟件供應(yīng)鏈安全市場現(xiàn)狀
圍繞全球軟件供應(yīng)鏈安全和管理話題����,JFrog Research團(tuán)隊(duì)委托第三方調(diào)研了全球1224名安全、開發(fā)���、運(yùn)維相關(guān)從業(yè)人員后形成的《全球軟件供應(yīng)鏈發(fā)展報(bào)告》中�,指出了四大現(xiàn)狀��。
一是編程語言應(yīng)用廣泛�,行業(yè)特色明顯。
數(shù)據(jù)顯示����,53%的企業(yè)組織使用4-9種編程語言,31%的企業(yè)組織使用十幾種編程語言�����;按軟件包類型劃分����,Docker和NPM貢獻(xiàn)了最多的新軟件包�����,PyPI的貢獻(xiàn)也有所提高;在生產(chǎn)發(fā)布軟件中使用最多的技術(shù)為Maven(后端應(yīng)用程序)�、NPM(前端應(yīng)用程序)�、Docker、PyPI(用于AI/ML)���、Go�����、Nuget�����、Conan
(C/C++)和Helm����,C和C++語言搞定全局已經(jīng)成為過去時(shí)���,容器化已經(jīng)成為主流��。
垂直行業(yè)往往使用常用的編程語言�����,如汽車和物聯(lián)網(wǎng)公司使用Maven�����、NPM���、Docker和PyPI��,并經(jīng)常將其中的許多技術(shù)捆綁成通用軟件包(tar/zip鏡像);機(jī)器人和AI/MLOps公司使用PyPI和提取自Hugging Face和TensorFlow等公共網(wǎng)站的ML模型�����,同時(shí)也將這些模型存儲(chǔ)在容器或通用軟件包(tar/zip)中�����,但他們現(xiàn)在也開始為其ML模型采用Hugging Face這樣的原生倉庫�;保險(xiǎn)、金融和零售企業(yè)使用Maven����、NPM和Docker等技術(shù),但隨著AI/ML的普及�����,PyPI和ML模型也被用來提供更好的產(chǎn)品�����。
錯(cuò)綜復(fù)雜的軟件工具意味著企業(yè)組織面臨著比以往更大的安全風(fēng)險(xiǎn)��。選擇合適的軟件工具�、管理與監(jiān)控工作流程和實(shí)踐,可鞏固企業(yè)的安全態(tài)勢并確保持續(xù)增長的競爭優(yōu)勢��。
二是安全風(fēng)險(xiǎn)藏身之地出乎意料���。
2023年�,全球安全研究機(jī)構(gòu)報(bào)告了超過2.6萬個(gè)新的通用漏洞披露(CVE),數(shù)量繼續(xù)呈現(xiàn)增長的趨勢�;不過,在Docker Hub社區(qū)最受歡迎的100個(gè)鏡像中�,被CVSS評分為“高危”和“嚴(yán)重”的CVE有74%實(shí)際上是不可利用的�����。此外�����,在企業(yè)的軟件供應(yīng)鏈中,人為操作失誤和機(jī)密泄露是主要的潛在風(fēng)險(xiǎn)��。
三是保護(hù)軟件供應(yīng)鏈安全缺乏明確聚焦���。
雖然企業(yè)組織都重視安全�����,但采用的對策卻大相徑庭��。89%的安全�����、開發(fā)和運(yùn)維受訪人員表示�����,其所在的企業(yè)采用開源軟件安全基金會(huì)(Open Source Security Foundation���,OpenSSF)的SLSA等安全框架���,33%的企業(yè)組織使用10種及以上的軟件安全工具、47%使用4-9種軟件安全工具�。48%的受訪者表示其代碼掃描是手工方式而非自動(dòng)掃描,僅有1%的受訪者表示其代碼審查實(shí)現(xiàn)了完全的自動(dòng)化��。最終結(jié)果導(dǎo)致60%的企業(yè)組織通常每個(gè)月要用4天及以上時(shí)間來修復(fù)應(yīng)用程序漏洞����。
四是AI/ML的安全性正在引發(fā)高度關(guān)注。
AI/ML給人們工作生活帶來很大的幫助��,但它也有兩面性���。94%受訪者所在的企業(yè)組織正采取措施審查開源機(jī)器學(xué)習(xí)模型的安全性和合規(guī)性��,90%的受訪者表示正在使用AI/ML應(yīng)用來協(xié)助開展安全工作,近五分之一的受訪者所在的企業(yè)組織不允許使用AI/ML來編寫代碼����,其中最不可能在軟件開發(fā)過程中使用AI和ML的企業(yè)和組織,主要來自法國和英國。
綜上可知�����,企業(yè)組織在管理軟件供應(yīng)鏈風(fēng)險(xiǎn)方面���,面對的是每年以萬計(jì)遞增的CVE���,惡意軟件包的數(shù)量也越來越多,并非每個(gè)CVE都適用于企業(yè)的軟件����、也不像最初以為的嚴(yán)重;編程過程中常見的人為失誤可能為組織帶來新的風(fēng)險(xiǎn)�����。
Gartner的最新預(yù)測顯示�,2024年�����,全球終端用戶在安全和風(fēng)險(xiǎn)管理方面的支出預(yù)計(jì)將達(dá)到2150億美元��,較2023年增長14.3%���。這對企業(yè)而言,無疑是一筆巨大的開支�。
在開源和安全中尋找平衡
意外造成的CVE是開源軟件供應(yīng)鏈潛在風(fēng)險(xiǎn)的最大來源��,例如����,對NPM的分析顯示,僅在2022年下半年到2023年上半年�����,引入開源生態(tài)系統(tǒng)的惡意軟件包數(shù)量從3134增加到6561個(gè)��,增加了一倍以上�����。
在通過開源生態(tài)系統(tǒng)引入漏洞方面��,并非所有的軟件技術(shù)都表現(xiàn)一樣��。雖然Debian和RPM的漏洞最多����,但NPM和PyPI的嚴(yán)重CVE漏洞占比最大��,其次是Maven��。大多數(shù)的Debian和Alpine代碼庫都是C/C++代碼和Linux��。由于二者都是Linux系統(tǒng)��,用戶很可能會(huì)在這兩種軟件包類型中發(fā)現(xiàn)相同的漏洞����,Debian的漏洞更多���,因?yàn)樗膽?yīng)用更為廣泛�,貢獻(xiàn)的軟件包也更多。
但是����,存在CVE并不一定意味著該軟件包不能使用,更要緊的是監(jiān)控和防止惡意軟件包進(jìn)入軟件供應(yīng)鏈��,因?yàn)榧词怪皇窍螺d這些軟件包也可能使企業(yè)遭受攻擊��。攻擊者也意識(shí)到�����,開源軟件包和使用這些軟件包的開發(fā)人員是安全漏洞的“黃金通行證”�����。他們的攻擊方式往往是利用CVE帶來的缺陷(通常是使用開源軟件包的開發(fā)人員無意中造成)���,或者引入他們自己的惡意軟件包���,偽裝成安全的開源組件。
以科學(xué)的預(yù)防措施降低和規(guī)避風(fēng)險(xiǎn)
沒有“一刀切”的安全解決方案��。
使用多種掃描工具和單點(diǎn)式解決方案會(huì)導(dǎo)致漏洞修復(fù)效率低下和數(shù)據(jù)重復(fù),通常會(huì)使團(tuán)隊(duì)偏離目標(biāo)��,以至于把注意力集中于可能并不相關(guān)的漏洞���。JFrog為開發(fā)流程中使用和生成的所有軟件包提供了單一可信來源,助力企業(yè)實(shí)現(xiàn)全自動(dòng)質(zhì)量控制��,確保軟件達(dá)到最高水平的安全性和合規(guī)性�。
事實(shí)上,92%的專業(yè)人士表示��,他們的企業(yè)至少有一個(gè)解決方案監(jiān)測惡意的開源包����,這表明他們都有惡意開源包的掃描工具了���。
89%的受訪者表示,他們已經(jīng)采用了OpenSSF SLSA——這是谷歌主導(dǎo)����、由OSSF推廣的、在國際上擁有較高接受程度的一個(gè)軟件供應(yīng)鏈安全標(biāo)準(zhǔn)�����;國內(nèi)也有企業(yè)在逐漸落地該安全標(biāo)準(zhǔn)來管理軟件供應(yīng)鏈安全���。
41%的開發(fā)人員表示采取安全措施的最佳階段之一是引入開源軟件時(shí);42%的開發(fā)人員認(rèn)為���,編寫代碼是軟件開發(fā)生命周期中采取安全措施的最佳階段之一���。因此安全左移還有很大的發(fā)展空間��。
調(diào)查顯示���,在構(gòu)建時(shí)和編碼時(shí)進(jìn)行安全掃描的企業(yè)組織占比均為59%;58%的公司進(jìn)行動(dòng)態(tài)應(yīng)用程序安全測試�,但這一過程耗時(shí)比較長,靜態(tài)應(yīng)用程序安全測試占到61%���。同時(shí)���,軟件構(gòu)成分析的測試占比58%。
得益于JFrog提供的軟件構(gòu)成分析的快速掃描方式��,56%的企業(yè)在源代碼和二進(jìn)制文件層面實(shí)現(xiàn)了API安全掃描���。
JFrog的價(jià)值遠(yuǎn)不止于此��。
在抵消來自漏洞的影響方面�����,JFrog安全團(tuán)隊(duì)對來自互聯(lián)網(wǎng)及Docker Hub上的212個(gè)CVE樣本進(jìn)行調(diào)研后���,將85%的“嚴(yán)重”CVE和73%的“高?!盋VE不合理的評級(jí)進(jìn)行了下調(diào)甚至忽略�����。這意味著研發(fā)團(tuán)隊(duì)可以將更多寶貴的開發(fā)時(shí)間用于提升商業(yè)價(jià)值的任務(wù)活動(dòng)��。支持這一功能的是JFrog的Advanced Security(JAS),它在軟件漏洞掃描形勢分析基礎(chǔ)之上增加了上下文的分析���,確定某個(gè)包可被利用的或者不可被利用�����。
在大模型與AI領(lǐng)域�����,盡管9成受訪者表示他們的掃描工具支持AI或以AI工具來協(xié)助安全掃描與修復(fù),32%的企業(yè)受訪者表示使用Copilot等AI工具協(xié)助代碼生成���,但因?yàn)镃hatGPT產(chǎn)生的代碼可能存在漏洞��,而任何人都可以上傳大模型知識(shí)進(jìn)行訓(xùn)練��。在這一前提下����,黑客會(huì)預(yù)置一些惡意的包上傳到Docker Hub去訓(xùn)練GPT模型把答案鏈接指向惡意包的位置����,導(dǎo)致用戶在不知情的情況下被引導(dǎo)到惡意的倉庫去下載。
Docker Hub是目前世界上最主流�、專門用于管理Docker鏡像的最大的互聯(lián)網(wǎng)倉庫。JFrog與Docker聯(lián)合調(diào)研發(fā)現(xiàn)了460萬個(gè)沒有容器數(shù)據(jù)的Docker Hub存儲(chǔ)庫(又名“無鏡像”)���。這些無鏡像存儲(chǔ)庫絕大多數(shù)都是帶著惡意目的——它們的概述頁面試圖欺騙用戶訪問釣魚網(wǎng)站或托管著危險(xiǎn)惡意軟件的網(wǎng)站。JFrog還識(shí)別到了近300萬個(gè)存儲(chǔ)庫托管過惡意內(nèi)容�,包括通過自動(dòng)生成的賬戶上傳、用于推廣盜版內(nèi)容的垃圾郵件����,以及惡意軟件和釣魚網(wǎng)站等,支持Docker對這些惡意倉庫進(jìn)行了清理����,保護(hù)了用戶在下載時(shí)免遭惡意鏡像帶來的損失。
JFrog指出�,在使用Docker鏡像時(shí)決不能從Docker Hub隨心所欲地下載,可先使用JFrog的Curation(隔離倉庫)和Xray(安全掃描)功能��,保證鏡像安全性和合規(guī)性�。
從側(cè)面來說�����,JFrog也推動(dòng)了互聯(lián)網(wǎng)鏡像下載的安全�。
扎根、服務(wù)中國市場
提起JFrog�����,很多人第一印象是安全�,第二就是其不限制用戶數(shù)的特色����。JFrog正是通過這樣的方式切實(shí)幫助客戶在安全掃描�����、制品管理����、供應(yīng)鏈管理上提供統(tǒng)一�����、高性價(jià)比的解決方案���。
過去幾年里,JFrog在全球?qū)崿F(xiàn)了25%的增長���。
中國是亞太區(qū)增長最快的區(qū)域��,中日兩國共服務(wù)了500家客戶��,集中在金融���、汽車����、互聯(lián)網(wǎng)和制造等行業(yè)��。
針對中國市場蓬勃發(fā)展的智能駕駛等行業(yè)��,JFrog對產(chǎn)品進(jìn)行了優(yōu)化以及提供定制化的支持���,以更好地滿足企業(yè)的高速發(fā)展以及出海需求。
伴隨越來越多的基礎(chǔ)架構(gòu)類產(chǎn)品加速國產(chǎn)化����,JFrog也在以更合適的解決方案適配這些產(chǎn)品,過去的一年里��,JFrog全線產(chǎn)品已經(jīng)完成了國產(chǎn)信創(chuàng)的適配���,不少客戶已經(jīng)直接將JFrog應(yīng)用到其信創(chuàng)環(huán)境中�����。
