在日前举办的JFrog媒体交流会上,JFrog大中华和日本地区总经理董任远、技术总监王青分享了公司的最新发展动向,并解读了JFrog发布的一项针对全球软件供应链安全的洞察报告,引发了媒体的浓厚兴趣。
该报告由JFrog Research团队撰写。报告从软件供应链安全管理的多个维度展开,通过一系列的调研数据,深入揭示了当前企业所面临的安全挑战。同时,JFrog也给出了针对性安全解决方案。相信,该报告将为国内企业的安全转型带来有益的价值洞见与应对策略。
开源安全管理意识高,改进空间尚存
根据JFrog Catalog提供的实际用户互联网行为数据分析,Docker Hub和NPM成为最频繁访问的开源组件来源,这反映出软件包需求的快速增长。
在安全措施方面,92%的企业已部署解决方案监控恶意开源包,凸显了行业对开源安全的高度重视。此外,OpenSSF SLSA框架作为谷歌推动、开源软件安全基金会支持的供应链安全标准,其采纳率达到了89%,显示了国际对该框架的广泛接受度,国内企业亦在逐步实施中。
然而,开发流程中的安全实践尚存改进空间。在开发者中,仅有42%倾向于在编码阶段进行安全扫描,揭示了安全左移策略的普及不足;手动代码审查依然普遍,占比48%;而完全自动化审查的实施者仅占1%,突显自动化程度不足的问题。
据JFrog与Docker携手进行的另一项调查显示,Docker Hub存在大量恶意无镜像存储库问题,其中460万个空壳存储库被用于诱导用户访问含有恶意软件或钓鱼链接的网站,严重威胁网络安全。JFrog检测到近300万个存储库含有恶意内容,并已通报Docker公司,后者迅速采取行动清除了这些威胁。
此合作不仅彰显了JFrog在维护互联网镜像安全下载方面的积极作用,也向用户发出了重要警示:在选择Docker镜像时应保持警惕,推荐使用JFrog的Curation和Xray服务进行严格的安全扫描,确保镜像的可靠性和法规遵从性。这一系列动作强调了在当前软件供应链环境中,加强安全审查与采用高效安全工具的重要性。
“过度评估漏洞”修复耗费精力大
调研数据发现,尤为引人关注的是, 25%的安全团队将大量精力投入于漏洞修复,其中不乏对应用实际影响有限或被过度评估的漏洞,这种现象消耗了宝贵的资源,降低了工作效率,成为当前软件安全领域的一大痛点和挑战。
为此,JFrog也给出自身的安全漏洞应对策略。JFrog安全团队通过分析212个CVE样本,揭示了漏洞评级调整的显著成效:85%的“严重”漏洞和73%的“高危”漏洞经重新评估后降低了危险等级。这一发现减轻了研发团队不必要的负担,使他们能集中精力于更具商业价值的工作,而非过度关注评级虚高的漏洞。
JFrog采用的创新风险分析技术,能够针对特定CVE深入应用调研,确认漏洞是否可被实际利用,实现评级合理下调,堪称业界“黑科技”。此技术有效过滤了夸大其词的漏洞评分,极大节省了开发者资源。
此外,在Docker Hub上对TOP 100热门镜像的分析中,如Tomcat、Ubuntu等,JFrog发现74%报告的漏洞实际上无法被利用。这些漏洞在JFrog的精细扫描后被标记为可忽略,极大解放了研发团队的修复工作,使之能更专注于核心业务的安全与效率提升。
AI大模型辅助安全工具被接受,潜在安全风险不容忽视
在针对AI大模型的调研中,JFrog发现90%的受访专业人士表示其安全扫描工具已集成AI支持。同量级的受访者认可使用AI工具辅助安全扫描和修复操作,显示出该技术应用的广泛接纳度。
调研中,32%的企业反馈多数员工采纳AI辅助代码生成工具如Copilot的使用。但超过半数受访者担忧由ChatGPT等生成的代码潜在安全漏洞,认为该做法暗含风险。
值得注意的是,调研还揭示了一项新型安全威胁:黑客正利用AI大模型的可训练性,通过预设恶意软件包并上传至公共平台如Docker Hub,来故意误导AI模型。这些恶意行为旨在操纵模型在特定查询时推荐恶意链接,导致用户可能在无意识中访问恶意仓库并下载有害软件。
此发现揭示了在AI大模型应用于安全领域,并被大家认可的当下,其潜在的滥用与安全风险亦不容忽视。
JFrog中国市场策略,将为中国行业用户提供定制化支持
会上,JFrog大中华和日本地区总经理董任远介绍了公司近来的发展状况。他表示,过去的几年,JFrog业务保持了持续增长,在全球实现了25%的增长率。而中国地区成为亚太区增长最快的区域。
董任远强调,目前,针对中国市场的特有的行业发展,JFrog提供了一系列产品的优化及定制化的支持。例如,面对近年来中国汽车行业的高速增长,JFrog提供了在制品库和安全领域的定制化解决方案,以满足企业快速发展和出海需求。
目前,JFrog在全球范围内服务约7400家企业,其中中国及日本地区客户超过500家,涵盖了金融、制造业及互联网等多个行业的头部品牌。中国地区作为亚太区增长最快的市场,JFrog在此实施了“in China, for China”战略,并实现了产品的全面国产化适配。