這個快速擴展過程中有哪些特點和問題����?JFrog大中華和日本地區(qū)總經(jīng)理董任遠(yuǎn)和JFrog中國技術(shù)總監(jiān)王青就《全球軟件供應(yīng)鏈發(fā)展報告》的發(fā)布進(jìn)行了解答���。
洞察軟件供應(yīng)鏈安全市場現(xiàn)狀
圍繞全球軟件供應(yīng)鏈安全和管理話題,JFrog Research團隊委托第三方調(diào)研了全球1224名安全�����、開發(fā)���、運維相關(guān)從業(yè)人員后形成的《全球軟件供應(yīng)鏈發(fā)展報告》中�����,指出了四大現(xiàn)狀��。
一是編程語言應(yīng)用廣泛�����,行業(yè)特色明顯�。
數(shù)據(jù)顯示�����,53%的企業(yè)組織使用4-9種編程語言��,31%的企業(yè)組織使用十幾種編程語言�;按軟件包類型劃分,Docker和NPM貢獻(xiàn)了最多的新軟件包�,PyPI的貢獻(xiàn)也有所提高;在生產(chǎn)發(fā)布軟件中使用最多的技術(shù)為Maven(后端應(yīng)用程序)�����、NPM(前端應(yīng)用程序)�、Docker、PyPI(用于AI/ML)���、Go�����、Nuget����、Conan
(C/C++)和Helm���,C和C++語言搞定全局已經(jīng)成為過去時�����,容器化已經(jīng)成為主流��。
垂直行業(yè)往往使用常用的編程語言��,如汽車和物聯(lián)網(wǎng)公司使用Maven��、NPM���、Docker和PyPI����,并經(jīng)常將其中的許多技術(shù)捆綁成通用軟件包(tar/zip鏡像)����;機器人和AI/MLOps公司使用PyPI和提取自Hugging Face和TensorFlow等公共網(wǎng)站的ML模型,同時也將這些模型存儲在容器或通用軟件包(tar/zip)中�,但他們現(xiàn)在也開始為其ML模型采用Hugging Face這樣的原生倉庫;保險��、金融和零售企業(yè)使用Maven����、NPM和Docker等技術(shù)����,但隨著AI/ML的普及�����,PyPI和ML模型也被用來提供更好的產(chǎn)品��。
錯綜復(fù)雜的軟件工具意味著企業(yè)組織面臨著比以往更大的安全風(fēng)險���。選擇合適的軟件工具、管理與監(jiān)控工作流程和實踐���,可鞏固企業(yè)的安全態(tài)勢并確保持續(xù)增長的競爭優(yōu)勢����。
二是安全風(fēng)險藏身之地出乎意料���。
2023年��,全球安全研究機構(gòu)報告了超過2.6萬個新的通用漏洞披露(CVE)�,數(shù)量繼續(xù)呈現(xiàn)增長的趨勢���;不過����,在Docker Hub社區(qū)最受歡迎的100個鏡像中,被CVSS評分為“高?���!焙汀皣?yán)重”的CVE有74%實際上是不可利用的。此外���,在企業(yè)的軟件供應(yīng)鏈中���,人為操作失誤和機密泄露是主要的潛在風(fēng)險。
三是保護軟件供應(yīng)鏈安全缺乏明確聚焦�����。
雖然企業(yè)組織都重視安全���,但采用的對策卻大相徑庭���。89%的安全、開發(fā)和運維受訪人員表示,其所在的企業(yè)采用開源軟件安全基金會(Open Source Security Foundation�,OpenSSF)的SLSA等安全框架,33%的企業(yè)組織使用10種及以上的軟件安全工具�、47%使用4-9種軟件安全工具。48%的受訪者表示其代碼掃描是手工方式而非自動掃描���,僅有1%的受訪者表示其代碼審查實現(xiàn)了完全的自動化。最終結(jié)果導(dǎo)致60%的企業(yè)組織通常每個月要用4天及以上時間來修復(fù)應(yīng)用程序漏洞�����。
四是AI/ML的安全性正在引發(fā)高度關(guān)注��。
AI/ML給人們工作生活帶來很大的幫助��,但它也有兩面性�。94%受訪者所在的企業(yè)組織正采取措施審查開源機器學(xué)習(xí)模型的安全性和合規(guī)性,90%的受訪者表示正在使用AI/ML應(yīng)用來協(xié)助開展安全工作��,近五分之一的受訪者所在的企業(yè)組織不允許使用AI/ML來編寫代碼���,其中最不可能在軟件開發(fā)過程中使用AI和ML的企業(yè)和組織���,主要來自法國和英國。
綜上可知,企業(yè)組織在管理軟件供應(yīng)鏈風(fēng)險方面����,面對的是每年以萬計遞增的CVE,惡意軟件包的數(shù)量也越來越多�,并非每個CVE都適用于企業(yè)的軟件、也不像最初以為的嚴(yán)重�;編程過程中常見的人為失誤可能為組織帶來新的風(fēng)險。
Gartner的最新預(yù)測顯示���,2024年�����,全球終端用戶在安全和風(fēng)險管理方面的支出預(yù)計將達(dá)到2150億美元�,較2023年增長14.3%�。這對企業(yè)而言,無疑是一筆巨大的開支�。
在開源和安全中尋找平衡
意外造成的CVE是開源軟件供應(yīng)鏈潛在風(fēng)險的最大來源,例如����,對NPM的分析顯示,僅在2022年下半年到2023年上半年����,引入開源生態(tài)系統(tǒng)的惡意軟件包數(shù)量從3134增加到6561個����,增加了一倍以上�����。
在通過開源生態(tài)系統(tǒng)引入漏洞方面��,并非所有的軟件技術(shù)都表現(xiàn)一樣�����。雖然Debian和RPM的漏洞最多�����,但NPM和PyPI的嚴(yán)重CVE漏洞占比最大�,其次是Maven����。大多數(shù)的Debian和Alpine代碼庫都是C/C++代碼和Linux。由于二者都是Linux系統(tǒng)���,用戶很可能會在這兩種軟件包類型中發(fā)現(xiàn)相同的漏洞����,Debian的漏洞更多,因為它的應(yīng)用更為廣泛����,貢獻(xiàn)的軟件包也更多。
但是�,存在CVE并不一定意味著該軟件包不能使用,更要緊的是監(jiān)控和防止惡意軟件包進(jìn)入軟件供應(yīng)鏈�����,因為即使只是下載這些軟件包也可能使企業(yè)遭受攻擊�。攻擊者也意識到,開源軟件包和使用這些軟件包的開發(fā)人員是安全漏洞的“黃金通行證”����。他們的攻擊方式往往是利用CVE帶來的缺陷(通常是使用開源軟件包的開發(fā)人員無意中造成),或者引入他們自己的惡意軟件包�����,偽裝成安全的開源組件��。
以科學(xué)的預(yù)防措施降低和規(guī)避風(fēng)險
沒有“一刀切”的安全解決方案。
使用多種掃描工具和單點式解決方案會導(dǎo)致漏洞修復(fù)效率低下和數(shù)據(jù)重復(fù)��,通常會使團隊偏離目標(biāo)���,以至于把注意力集中于可能并不相關(guān)的漏洞��。JFrog為開發(fā)流程中使用和生成的所有軟件包提供了單一可信來源�,助力企業(yè)實現(xiàn)全自動質(zhì)量控制���,確保軟件達(dá)到最高水平的安全性和合規(guī)性���。
事實上,92%的專業(yè)人士表示����,他們的企業(yè)至少有一個解決方案監(jiān)測惡意的開源包�,這表明他們都有惡意開源包的掃描工具了。
89%的受訪者表示����,他們已經(jīng)采用了OpenSSF SLSA——這是谷歌主導(dǎo)、由OSSF推廣的�、在國際上擁有較高接受程度的一個軟件供應(yīng)鏈安全標(biāo)準(zhǔn)�����;國內(nèi)也有企業(yè)在逐漸落地該安全標(biāo)準(zhǔn)來管理軟件供應(yīng)鏈安全��。
41%的開發(fā)人員表示采取安全措施的最佳階段之一是引入開源軟件時�����;42%的開發(fā)人員認(rèn)為��,編寫代碼是軟件開發(fā)生命周期中采取安全措施的最佳階段之一����。因此安全左移還有很大的發(fā)展空間���。
調(diào)查顯示��,在構(gòu)建時和編碼時進(jìn)行安全掃描的企業(yè)組織占比均為59%���;58%的公司進(jìn)行動態(tài)應(yīng)用程序安全測試,但這一過程耗時比較長�����,靜態(tài)應(yīng)用程序安全測試占到61%。同時�,軟件構(gòu)成分析的測試占比58%。
得益于JFrog提供的軟件構(gòu)成分析的快速掃描方式��,56%的企業(yè)在源代碼和二進(jìn)制文件層面實現(xiàn)了API安全掃描�����。
JFrog的價值遠(yuǎn)不止于此����。
在抵消來自漏洞的影響方面,JFrog安全團隊對來自互聯(lián)網(wǎng)及Docker Hub上的212個CVE樣本進(jìn)行調(diào)研后����,將85%的“嚴(yán)重”CVE和73%的“高危”CVE不合理的評級進(jìn)行了下調(diào)甚至忽略�。這意味著研發(fā)團隊可以將更多寶貴的開發(fā)時間用于提升商業(yè)價值的任務(wù)活動。支持這一功能的是JFrog的Advanced Security(JAS)���,它在軟件漏洞掃描形勢分析基礎(chǔ)之上增加了上下文的分析,確定某個包可被利用的或者不可被利用���。
在大模型與AI領(lǐng)域�,盡管9成受訪者表示他們的掃描工具支持AI或以AI工具來協(xié)助安全掃描與修復(fù),32%的企業(yè)受訪者表示使用Copilot等AI工具協(xié)助代碼生成��,但因為ChatGPT產(chǎn)生的代碼可能存在漏洞��,而任何人都可以上傳大模型知識進(jìn)行訓(xùn)練��。在這一前提下�,黑客會預(yù)置一些惡意的包上傳到Docker Hub去訓(xùn)練GPT模型把答案鏈接指向惡意包的位置,導(dǎo)致用戶在不知情的情況下被引導(dǎo)到惡意的倉庫去下載�。
Docker Hub是目前世界上最主流、專門用于管理Docker鏡像的最大的互聯(lián)網(wǎng)倉庫���。JFrog與Docker聯(lián)合調(diào)研發(fā)現(xiàn)了460萬個沒有容器數(shù)據(jù)的Docker Hub存儲庫(又名“無鏡像”)�����。這些無鏡像存儲庫絕大多數(shù)都是帶著惡意目的——它們的概述頁面試圖欺騙用戶訪問釣魚網(wǎng)站或托管著危險惡意軟件的網(wǎng)站�。JFrog還識別到了近300萬個存儲庫托管過惡意內(nèi)容�,包括通過自動生成的賬戶上傳、用于推廣盜版內(nèi)容的垃圾郵件�����,以及惡意軟件和釣魚網(wǎng)站等,支持Docker對這些惡意倉庫進(jìn)行了清理����,保護了用戶在下載時免遭惡意鏡像帶來的損失。
JFrog指出���,在使用Docker鏡像時決不能從Docker Hub隨心所欲地下載�����,可先使用JFrog的Curation(隔離倉庫)和Xray(安全掃描)功能���,保證鏡像安全性和合規(guī)性。
從側(cè)面來說�,JFrog也推動了互聯(lián)網(wǎng)鏡像下載的安全。
扎根��、服務(wù)中國市場
提起JFrog����,很多人第一印象是安全,第二就是其不限制用戶數(shù)的特色��。JFrog正是通過這樣的方式切實幫助客戶在安全掃描��、制品管理�、供應(yīng)鏈管理上提供統(tǒng)一、高性價比的解決方案���。
過去幾年里�����,JFrog在全球?qū)崿F(xiàn)了25%的增長����。
中國是亞太區(qū)增長最快的區(qū)域�����,中日兩國共服務(wù)了500家客戶�����,集中在金融�、汽車、互聯(lián)網(wǎng)和制造等行業(yè)����。
針對中國市場蓬勃發(fā)展的智能駕駛等行業(yè),JFrog對產(chǎn)品進(jìn)行了優(yōu)化以及提供定制化的支持,以更好地滿足企業(yè)的高速發(fā)展以及出海需求����。
伴隨越來越多的基礎(chǔ)架構(gòu)類產(chǎn)品加速國產(chǎn)化,JFrog也在以更合適的解決方案適配這些產(chǎn)品���,過去的一年里����,JFrog全線產(chǎn)品已經(jīng)完成了國產(chǎn)信創(chuàng)的適配���,不少客戶已經(jīng)直接將JFrog應(yīng)用到其信創(chuàng)環(huán)境中����。
