域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

作者：JFrog 大中華區(qū)和日本地區(qū)總經(jīng)理 董任遠(yuǎn)

隨著人工智能/機(jī)器學(xué)習(xí)(AI/ML)及大型語(yǔ)言模型（LLM）技術(shù)的快速發(fā)展，軟件開(kāi)發(fā)領(lǐng)域正在發(fā)生日新月異的變化。根據(jù)最近一項(xiàng)對(duì)全球1200名技術(shù)專(zhuān)業(yè)人士的調(diào)查發(fā)現(xiàn)，超過(guò)90%的高管表示他們的團(tuán)隊(duì)在軟件應(yīng)用中使用ML模型，88%的高管表示AI/ML工具被集成到他們的安全掃描和漏洞修復(fù)流程中。隨著LLM的日益普及，將AI和ML集成到軟件產(chǎn)品中的趨勢(shì)成為越來(lái)越多開(kāi)發(fā)者的關(guān)注焦點(diǎn)。這一趨勢(shì)在推動(dòng)行業(yè)創(chuàng)新的同時(shí)，也帶來(lái)了不容忽視的安全風(fēng)險(xiǎn)，尤其是當(dāng)開(kāi)發(fā)者缺乏資源來(lái)全天候確保安全開(kāi)發(fā)實(shí)踐時(shí)，安全隱患尤為顯著。

在網(wǎng)絡(luò)安全領(lǐng)域，安全疏忽可能導(dǎo)致惡意代碼插入到AI/ML模型中等后果。安全無(wú)小事，任何漏洞都可能為網(wǎng)絡(luò)犯罪分子提供可乘之機(jī)，使其分發(fā)被破解的開(kāi)源軟件（OSS）模型，進(jìn)而入侵企業(yè)內(nèi)網(wǎng)并造成巨大的經(jīng)濟(jì)和聲譽(yù)損失。

此外，生成式AI在代碼編寫(xiě)中的廣泛應(yīng)用，雖提升了效率，然而在快節(jié)奏的開(kāi)發(fā)環(huán)境中，開(kāi)發(fā)者往往難以全面審核生成代碼的安全性，這也帶來(lái)了新的安全隱患。為了應(yīng)對(duì)這些挑戰(zhàn)，從代碼生成的那一刻起，就必須實(shí)施嚴(yán)格的安全審查，深入至二進(jìn)制級(jí)別，以防范潛在的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。

面對(duì)這些持續(xù)升級(jí)的安全挑戰(zhàn)，其嚴(yán)峻性隨著網(wǎng)絡(luò)犯罪分子不斷尋找AI/ML技術(shù)的最新漏洞而日益加劇。因此，開(kāi)發(fā)者必須主動(dòng)出擊，將安全措施深度融入工作流程的每一個(gè)環(huán)節(jié)，自項(xiàng)目之初便構(gòu)建起堅(jiān)固的安全防線，守護(hù)企業(yè)的軟件供應(yīng)鏈安全。

在此過(guò)程中，除了開(kāi)發(fā)團(tuán)隊(duì)需肩負(fù)重任外，全員參與、共筑安全防線同樣至關(guān)重要。通過(guò)持續(xù)的安全教育與培訓(xùn)，提升開(kāi)發(fā)者的安全意識(shí)，并將這份安全意識(shí)傳遞給每位員工，使每位員工都能成為企業(yè)安全防線的守護(hù)者。隨著AI和ML技術(shù)的發(fā)展，當(dāng)企業(yè)的每一個(gè)員工都能緊跟安全技術(shù)的最新步伐時(shí)，每個(gè)人都將從中受益。

實(shí)現(xiàn) 開(kāi)發(fā)人員的角色升級(jí)

對(duì)于開(kāi)發(fā)者而言，在軟件生命周期的初期考慮安全性仍是一個(gè)相對(duì)較新的做法，常規(guī)情況下，開(kāi)發(fā)者往往在軟件開(kāi)發(fā)的后期才考慮安全性問(wèn)題。很多時(shí)候，二進(jìn)制層面的安全性被視為“錦上添花”而非“必不可少”。而惡意攻擊者正是利用這一疏忽，尋找將ML模型“武器化”以對(duì)抗企業(yè)安全措施的方法，并設(shè)法將惡意邏輯注入到最終的二進(jìn)制文件中。

此外，許多開(kāi)發(fā)者在開(kāi)發(fā)早期階段并未接受將安全性嵌入代碼所需的必要培訓(xùn)。這帶來(lái)的主要影響是，由AI在開(kāi)源倉(cāng)庫(kù)上訓(xùn)練生成的代碼往往沒(méi)有得到充分的漏洞審查，且缺乏全面的安全控制來(lái)保護(hù)用戶(hù)和企業(yè)免受攻擊。雖然這種做法可能在短期內(nèi)為開(kāi)發(fā)者節(jié)省了時(shí)間和資源，但開(kāi)發(fā)者卻在不知不覺(jué)中使企業(yè)暴露于來(lái)自企業(yè)外部的眾多風(fēng)險(xiǎn)之中。一旦代碼被應(yīng)用到AI/ML模型中，這些漏洞的影響就會(huì)更加顯著，甚至可能逃過(guò)檢測(cè)。

值得注意的是，九成專(zhuān)業(yè)人士表示他們的企業(yè)正在利用AI/ML技術(shù)進(jìn)行安全掃描和漏洞修復(fù)工作。這一趨勢(shì)表明，傳統(tǒng)的開(kāi)發(fā)者角色已經(jīng)難以應(yīng)對(duì)日益復(fù)雜的安全挑戰(zhàn)。因此，開(kāi)發(fā)者也必須成為安全專(zhuān)家，通過(guò)在開(kāi)發(fā)初期就構(gòu)建安全解決方案，開(kāi)發(fā)者不僅能提升關(guān)鍵工作流程的效率，還能為整個(gè)企業(yè)的安全性奠定堅(jiān)實(shí)基礎(chǔ)。

為了實(shí)現(xiàn)這一目標(biāo)，企業(yè)應(yīng)加大對(duì)開(kāi)發(fā)者的定期培訓(xùn)投入，并提供必要的資源支持，幫助他們及時(shí)掌握最新的安全威脅和應(yīng)對(duì)策略。同時(shí)，加強(qiáng)開(kāi)發(fā)團(tuán)隊(duì)與安全團(tuán)隊(duì)之間的協(xié)作也至關(guān)重要，從而確保安全措施能夠無(wú)縫融入開(kāi)發(fā)流程之中。這種跨部門(mén)的合作不僅有助于提升AI/ML模型的安全性，還能構(gòu)建起更加堅(jiān)固的防御體系。將安全性貫穿于開(kāi)發(fā)過(guò)程的每一個(gè)環(huán)節(jié)，將成為確保AI/ML技術(shù)安全、穩(wěn)定部署的關(guān)鍵所在。

“左移”策略——應(yīng)被優(yōu)先考慮的早期安全措施

隨著不同團(tuán)隊(duì)持續(xù)大規(guī)模應(yīng)用AI，ML模型中的高級(jí)安全性變得至關(guān)重要。 “左移”策略應(yīng)運(yùn)而生，它主張?jiān)谲浖_(kāi)發(fā)生命周期的早期就集成安全措施，搶先一步從多角度預(yù)防未來(lái)的安全漏洞，同時(shí)確保整個(gè)開(kāi)發(fā)過(guò)程中的全面安全性。在AI/ML開(kāi)發(fā)過(guò)程中，這一策略尤為重要，甚至在部署之前就要確保代碼和模型的安全性和合規(guī)性，因?yàn)檫@些代碼和模型往往來(lái)自外部來(lái)源，有時(shí)可能無(wú)法完全信任。

隨著AI和ML成為軟件開(kāi)發(fā)不可或缺的核心部分，制定強(qiáng)大的安全政策、落實(shí)并提供相應(yīng)的培訓(xùn)變得至關(guān)重要。開(kāi)發(fā)者必須將他們的編碼專(zhuān)業(yè)知識(shí)與深厚的安全知識(shí)結(jié)合起來(lái)，以便在開(kāi)發(fā)過(guò)程的早期階段解決關(guān)鍵漏洞隱患。通過(guò)“左移”策略，在整個(gè)軟件生命周期中從初期就持續(xù)確保安全措施的部署，企業(yè)可以進(jìn)一步增強(qiáng)與客戶(hù)和員工的信任感，降低風(fēng)險(xiǎn)，并保護(hù)其免受復(fù)雜的網(wǎng)絡(luò)威脅的騷擾。

###

關(guān)于JFrog

JFrog Ltd.（納斯達(dá)克股票代碼：FROG）的使命是創(chuàng)造一個(gè)從開(kāi)發(fā)人員到設(shè)備之間暢通無(wú)阻的軟件交付世界。秉承“流式軟件”的理念，JFrog軟件供應(yīng)鏈平臺(tái)是統(tǒng)一的記錄系統(tǒng)，幫助企業(yè)快速安全地構(gòu)建、管理和分發(fā)軟件，確保軟件可用、可追溯和防篡改。集成的安全功能還有助于發(fā)現(xiàn)和抵御威脅和漏洞并加以補(bǔ)救。JFrog 的混合、通用、多云平臺(tái)可以作為跨多個(gè)主流云服務(wù)提供商的自托管和SaaS服務(wù)。全球數(shù)百萬(wàn)用戶(hù)和7200多名客戶(hù)，包括大多數(shù)財(cái)富100強(qiáng)企業(yè)，依靠JFrog解決方案安全地開(kāi)展數(shù)字化轉(zhuǎn)型。一用便知！如欲了解更多信息，請(qǐng)?jiān)L問(wèn)jfrogchina.com或者關(guān)注我們的微信官方賬號(hào)：JFrog捷蛙。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！