作者:JFrog 大中華區(qū)和日本地區(qū)總經(jīng)理 董任遠(yuǎn)
隨著人工智能/機器學(xué)習(xí)(AI/ML)及大型語言模型(LLM)技術(shù)的快速發(fā)展,軟件開發(fā)領(lǐng)域正在發(fā)生日新月異的變化。根據(jù)最近一項對全球1200名技術(shù)專業(yè)人士的調(diào)查發(fā)現(xiàn),超過90%的高管表示他們的團隊在軟件應(yīng)用中使用ML模型,88%的高管表示AI/ML工具被集成到他們的安全掃描和漏洞修復(fù)流程中。隨著LLM的日益普及,將AI和ML集成到軟件產(chǎn)品中的趨勢成為越來越多開發(fā)者的關(guān)注焦點。這一趨勢在推動行業(yè)創(chuàng)新的同時,也帶來了不容忽視的安全風(fēng)險,尤其是當(dāng)開發(fā)者缺乏資源來全天候確保安全開發(fā)實踐時,安全隱患尤為顯著。
在網(wǎng)絡(luò)安全領(lǐng)域,安全疏忽可能導(dǎo)致惡意代碼插入到AI/ML模型中等后果。安全無小事,任何漏洞都可能為網(wǎng)絡(luò)犯罪分子提供可乘之機,使其分發(fā)被破解的開源軟件(OSS)模型,進而入侵企業(yè)內(nèi)網(wǎng)并造成巨大的經(jīng)濟和聲譽損失。
此外,生成式AI在代碼編寫中的廣泛應(yīng)用,雖提升了效率,然而在快節(jié)奏的開發(fā)環(huán)境中,開發(fā)者往往難以全面審核生成代碼的安全性,這也帶來了新的安全隱患。為了應(yīng)對這些挑戰(zhàn),從代碼生成的那一刻起,就必須實施嚴(yán)格的安全審查,深入至二進制級別,以防范潛在的軟件供應(yīng)鏈安全風(fēng)險。
面對這些持續(xù)升級的安全挑戰(zhàn),其嚴(yán)峻性隨著網(wǎng)絡(luò)犯罪分子不斷尋找AI/ML技術(shù)的最新漏洞而日益加劇。因此,開發(fā)者必須主動出擊,將安全措施深度融入工作流程的每一個環(huán)節(jié),自項目之初便構(gòu)建起堅固的安全防線,守護企業(yè)的軟件供應(yīng)鏈安全。
在此過程中,除了開發(fā)團隊需肩負(fù)重任外,全員參與、共筑安全防線同樣至關(guān)重要。通過持續(xù)的安全教育與培訓(xùn),提升開發(fā)者的安全意識,并將這份安全意識傳遞給每位員工,使每位員工都能成為企業(yè)安全防線的守護者。隨著AI和ML技術(shù)的發(fā)展,當(dāng)企業(yè)的每一個員工都能緊跟安全技術(shù)的最新步伐時,每個人都將從中受益。
實現(xiàn)開發(fā)人員的角色升級
對于開發(fā)者而言,在軟件生命周期的初期考慮安全性仍是一個相對較新的做法,常規(guī)情況下,開發(fā)者往往在軟件開發(fā)的后期才考慮安全性問題。很多時候,二進制層面的安全性被視為“錦上添花”而非“必不可少”。而惡意攻擊者正是利用這一疏忽,尋找將ML模型“武器化”以對抗企業(yè)安全措施的方法,并設(shè)法將惡意邏輯注入到最終的二進制文件中。
此外,許多開發(fā)者在開發(fā)早期階段并未接受將安全性嵌入代碼所需的必要培訓(xùn)。這帶來的主要影響是,由AI在開源倉庫上訓(xùn)練生成的代碼往往沒有得到充分的漏洞審查,且缺乏全面的安全控制來保護用戶和企業(yè)免受攻擊。雖然這種做法可能在短期內(nèi)為開發(fā)者節(jié)省了時間和資源,但開發(fā)者卻在不知不覺中使企業(yè)暴露于來自企業(yè)外部的眾多風(fēng)險之中。一旦代碼被應(yīng)用到AI/ML模型中,這些漏洞的影響就會更加顯著,甚至可能逃過檢測。
值得注意的是,九成專業(yè)人士表示他們的企業(yè)正在利用AI/ML技術(shù)進行安全掃描和漏洞修復(fù)工作。這一趨勢表明,傳統(tǒng)的開發(fā)者角色已經(jīng)難以應(yīng)對日益復(fù)雜的安全挑戰(zhàn)。因此,開發(fā)者也必須成為安全專家,通過在開發(fā)初期就構(gòu)建安全解決方案,開發(fā)者不僅能提升關(guān)鍵工作流程的效率,還能為整個企業(yè)的安全性奠定堅實基礎(chǔ)。
為了實現(xiàn)這一目標(biāo),企業(yè)應(yīng)加大對開發(fā)者的定期培訓(xùn)投入,并提供必要的資源支持,幫助他們及時掌握最新的安全威脅和應(yīng)對策略。同時,加強開發(fā)團隊與安全團隊之間的協(xié)作也至關(guān)重要,從而確保安全措施能夠無縫融入開發(fā)流程之中。這種跨部門的合作不僅有助于提升AI/ML模型的安全性,還能構(gòu)建起更加堅固的防御體系。將安全性貫穿于開發(fā)過程的每一個環(huán)節(jié),將成為確保AI/ML技術(shù)安全、穩(wěn)定部署的關(guān)鍵所在。
“左移”策略——應(yīng)被優(yōu)先考慮的早期安全措施
隨著不同團隊持續(xù)大規(guī)模應(yīng)用AI,ML模型中的高級安全性變得至關(guān)重要。 “左移”策略應(yīng)運而生,它主張在軟件開發(fā)生命周期的早期就集成安全措施,搶先一步從多角度預(yù)防未來的安全漏洞,同時確保整個開發(fā)過程中的全面安全性。在AI/ML開發(fā)過程中,這一策略尤為重要,甚至在部署之前就要確保代碼和模型的安全性和合規(guī)性,因為這些代碼和模型往往來自外部來源,有時可能無法完全信任。
隨著AI和ML成為軟件開發(fā)不可或缺的核心部分,制定強大的安全政策、落實并提供相應(yīng)的培訓(xùn)變得至關(guān)重要。開發(fā)者必須將他們的編碼專業(yè)知識與深厚的安全知識結(jié)合起來,以便在開發(fā)過程的早期階段解決關(guān)鍵漏洞隱患。通過“左移”策略,在整個軟件生命周期中從初期就持續(xù)確保安全措施的部署,企業(yè)可以進一步增強與客戶和員工的信任感,降低風(fēng)險,并保護其免受復(fù)雜的網(wǎng)絡(luò)威脅的騷擾。
###
關(guān)于JFrog
JFrog Ltd.(納斯達克股票代碼:FROG)的使命是創(chuàng)造一個從開發(fā)人員到設(shè)備之間暢通無阻的軟件交付世界。秉承“流式軟件”的理念,JFrog軟件供應(yīng)鏈平臺是統(tǒng)一的記錄系統(tǒng),幫助企業(yè)快速安全地構(gòu)建、管理和分發(fā)軟件,確保軟件可用、可追溯和防篡改。集成的安全功能還有助于發(fā)現(xiàn)和抵御威脅和漏洞并加以補救。JFrog 的混合、通用、多云平臺可以作為跨多個主流云服務(wù)提供商的自托管和SaaS服務(wù)。全球數(shù)百萬用戶和7200多名客戶,包括大多數(shù)財富100強企業(yè),依靠JFrog解決方案安全地開展數(shù)字化轉(zhuǎn)型。一用便知!如欲了解更多信息,請訪問jfrogchina.com或者關(guān)注我們的微信官方賬號:JFrog捷蛙。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹(jǐn)慎對待。投資者據(jù)此操作,風(fēng)險自擔(dān)。
近日,德國柏林國際電子消費品展覽會(IFA2024)隆重舉辦。憑借在核心技術(shù)、產(chǎn)品設(shè)計及應(yīng)用方面的創(chuàng)新變革,全球領(lǐng)先的智能終端企業(yè)TCL實業(yè)成功斬獲兩項“IFA全球產(chǎn)品設(shè)計創(chuàng)新大獎”金獎,有力證明了其在全球市場的強大影響力。
近日,中國家電及消費電子博覽會(AWE 2024)隆重開幕。全球領(lǐng)先的智能終端企業(yè)TCL實業(yè)攜多款創(chuàng)新技術(shù)和新品亮相,以敢為精神勇闖技術(shù)無人區(qū),斬獲四項AWE 2024艾普蘭大獎。
“以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進了21600元。
由世界人工智能大會組委會、上海市經(jīng)信委、徐匯區(qū)政府、臨港新片區(qū)管委會共同指導(dǎo),由上海市人工智能行業(yè)協(xié)會聯(lián)合上海人工智能實驗室、上海臨港經(jīng)濟發(fā)展(集團)有限公司、開放原子開源基金會主辦的“2024全球開發(fā)者先鋒大會”,將于2024年3月23日至24日舉辦。