随着数字化转型的深入,软件供应链已逐渐成为企业核心竞争力的重要组成部分。然而,伴随而来的软件供应链安全问题也日益凸显,给企业的信息安全和业务连续性带来了严重威胁。在这一背景下,JFrog以其创新的解决方案和专业的技术实力,为软件供应链安全保驾护航。
近日,JFrog发布了《2024年全球软件供应链发展报告》的调查结果,指出了新兴的发展趋势、行业风险以及保障企业软件供应链安全的优秀实践,对软件供应链安全非常有启发性。
细数四大研究结果
据JFrog中国技术总监王青介绍,《2024年全球软件供应链发展报告》结合了超过7000家企业的JFrog Artifactory开发者使用数据、JFrog安全研究团队原创的CVE分析、以及委托第三方对全球1200名技术专业人士进行的调查数据,旨在为快速发展的软件供应链领域提供信息参考。主要研究结果包括:
开源
根据JFrog Catalog数据显示,Docker和NPM是对包类型贡献最大的。可用软件包的数量不断增长,从而形成了一个日益庞大的软件供应链。垃圾邮件、恶意软件包和相关风险是新软件包和库中的自然组成部分,新版本的快速引入需要付出大量努力才能正确管理。
92%的专业人士认为,他们的企业至少有一个解决方案监测恶意的开源包,接受程度很高,这就表明,92%的公司都有恶意开源包的扫描工具了。
在开发人员里,42%的人表示最好在代码编写期间执行安全扫描,相对比例并不是非常高,因此安全左移还有很大的发展空间。
值得关注的是,相当于1/4的安全团队将大量的时间花在漏洞修复上,即使这些漏洞可能被高估或者不太适用。目前互联网的漏洞非常多,每个漏洞只要是“严重”级别的,可能就被要求修复,但是安全团队可能不在意这个漏洞对你应用是不是真的有影响,也要花时间去修复。目前,这是业界非常大的一个痛点,很多开发人员将时间花在修复一些不必要修复的漏洞。
安全实践
在报告中安全实践部分,59%的企业是在构建时进行安全扫描,编码时进行安全扫描的企业占比同样为59%,在开发阶段进行安全扫描的比例还是比较高的。
最常用的应用程序安全解决方案部分,静态应用程序安全测试是最多的,占到61%。动态应用程序安全测试,由于耗时比较长,有58%的公司进行这一安全测试;同时,软件构成分析的测试占比58%,得益于扫描快速,这个数字提升潜力巨大,包括JFrog本身就能做软件构成分析的扫描;56%的企业实现了API安全扫描。
漏洞影响
据王青介绍,在互联网、Docker Hub上,我们调研了212个CVE样本。JFrog安全团队将85%的“严重”CVE和73%的“高危”CVE下调了评级。这就意味着研发团队能够避免付出额外精力关注漏洞分数虚高的漏洞。
JFrog能够对漏洞进行上下文的风险分析,它能根据你的CVE,对你的应用产生调研,判断是不是漏洞被调用,从而能确认这个漏洞的评级可以下降。有了这样的技术之后,我们可以将大部分漏洞不合理的评分进行下降,这意味着可以为开发者省下更多宝贵的开发时间,进行提升商业价值的任务活动。
另外,JFrog在Docker Hub里分析了最受欢迎的100个镜像,比如Tomcat、Ubuntu、GDK这样的下载量最高的镜像,里面有很多CVSS评分的漏洞。在这些CVE漏洞中,JFrog的研究团队发现了一个重大的数据,74%的漏洞实际是不可被利用的。这74%经过JFrog扫描之后,显示这些漏洞可以被忽略,从而让研发从这些修复漏洞的工作中解放出来。
AI/ML
在对大模型AI领域进行调研时,90%的受访者表示他们的扫描工具支持AI;90%的受访者在某种程度上支持AI的工具来协助安全扫描或修复;有32%的企业受访者表示大部分人可以使用Copilot等AI工具协助代码生成,但是因为ChatGPT产生的代码可能存在漏洞,超过半数的人认为这一行为有风险。
笔者看来,JFrog想告诉我们:虽然安全漏洞的数量每年都在增加,但这并不意味着其严重性也在同步上升。JFrog编制这份报告的目的不仅仅在于分析趋势,更是为了当技术业务领导者在针对AI导航、恶意代码或安全解决方案等方面制定决策时,能够为其提供清晰的指导和专业的技术咨询。
JFrog:“in China,for China”
据JFrog大中华和日本地区总经理董任远介绍,过去几年,JFrog的业务持续保持增长,全球实现了25%的增长,中国地区是亚太区增长最快的区域。同样,JFrog不仅在新客户上保持增长,在现有客户上,也保持了高速的增长,客户随着其业务的发展,在持续加码购买JFrog的产品,以适应它的数字化转型需求。
董任远表示,JFrog在中国的战略是“in China,for China”。过去几年,中国市场越来越多的基础架构类产品都已经支持了国产化,其中包括了芯片、服务器、数据库以及中间件。对于JFrog来说,在中国的战略就是以更合适的解决方案适配这些产品。过去的一年,JFrog已经完成了在中国的全线产品针对于国产信创产品的适配,我们也有很多客户现在已经直接将JFrog应用到其信创环境当中。
不仅如此,针对中国市场的特有行业发展,JFrog还提供了一些产品的优化以及定制化的支持。比如这两年中国的汽车行业高速地发展,同样JFrog也针对汽车行业提出了一些新的解决方案,尤其是在制品库以及在安全领域上,为了更好地满足中国企业的高速发展以及企业出海的需求,JFrog都提供定制化的支持。
董任远表示,中国市场跟其他市场的主要区别就是在于JFrog有很多的国产新设备,过去几年,我们看到中国在技术创新上有很多的突破,无论是硬件、软件,有很多国产化的需求。这也是JFrog在适配中国客户需求的过程当中,保持多样性以及最大范围的兼容。同样,JFrog在兼容的时候,也在为中国的客户做了很多的优化,无论你用什么样的芯片,用什么样的操作系统,在采用JFrog时,你都可以满足一个最大化的性能以及效率。
笔者观察
JFrog深知软件供应链安全的重要性,因此致力于为客户提供全面的、以DevOps为中心的安全解决方案。这些方案不仅涵盖开源和第一方代码的安全管理,还包括机密检测、IaC安全和OSS软件包的创建等多个方面。通过这些综合性措施,JFrog帮助客户构建起一道坚不可摧的安全防线,有效抵御各种潜在的安全威胁。
值得一提的是,JFrog还引入了AI和MLOps安全性,为软件供应链安全注入了新的活力。通过智能策略和增强的修复指导,JFrog能够最大限度地减少客户的工作量,同时确保软件供应链的持续安全和合规性。此外,JFrog的ML模型管理功能还能快速扫描和检测恶意机器学习模型,确保AI技术的安全使用。
除了技术创新外,JFrog还注重与客户的紧密合作。它深入了解客户的业务需求和安全痛点,为客户提供量身定制的解决方案。同时,JFrog还积极参与行业交流和合作,与众多知名企业共同推动软件供应链安全的发展。
总之,JFrog以其专业的技术实力和创新的解决方案,为软件供应链安全提供了强有力的保障。在未来,随着数字化转型的持续推进和软件供应链的不断发展,JFrog将继续发挥其在安全领域的优势,为企业提供更加安全、可靠和高效的软件供应链服务。