生成式 AI 时代,软件供应链安全面临更多挑战
AI大模型不仅能够文生图、文生视频、人机对话等,还能够帮助开发人员写代码,但这又出现另一个问题,ChatGPT产生的代码也可能存在漏洞。 可以说,全球软件供应链安全正面临着更大的挑战,AI爆发、大量应用程序的出现以及企业内部应用AI等诸多新事物无不考验着软件开发者的抗风险能力。 JFrog公司研究团队在全球软件供应链发展报告中指出,AI大模型不仅是前端的内容生成,还包括模型、数据集、Python脚本等在容器环境里的运行,这就需要后端软件供应链的支撑。 根据JFrog Catalog数据,Docker 和npm 是对包类型贡献最大的。软件包的数量不断增长,从而形成了一个日益庞大的软件供应链。垃圾邮件、恶意软件包和相关风险是新软件包和库中的自然组成部分,新版本的快速引入需要付出大量努力才能正确管理。 调研显示,92%的专业人士认为,他们的企业至少有一个解决方案监测恶意的开源包,89%的受访者表示,他们已经采用了OpenSSF SLSA的框架。这个框架为谷歌主导,是由开源软件安全基金会(Open Source Security Foundation)推广的一个软件供应链安全标准,该标准目前在...
