RSAC 2024观察:软件供应链安全进入AI+时代

盘点RSAC会议上软件供应链安全议题的特点、趋势及启示。

网络安全行业备受关注的RSAC 2024刚刚落下帷幕,今年大会的创新沙盒比赛打破了之前五年均有软件供应链安全初创公司进入10强的惯例,但这并未影响软件供应链安全议题成为大会必选项,并引发广大从业者极大兴趣的状况。本文就来盘点一下今年RSAC会议上软件供应链安全议题的特点、趋势及启示。

一、RSAC 2024软件供应链安全议题内容分析

1、软件物料清单(SBOM)成为热门话题

这一现象与SBOM近年来的研究热度有关。在前几年完成了SBOM最小要素、数据格式等基础内容的规范后,美国目前正在CISA等机构的协调下,聚焦于SBOM的应用落地和易用性优化等的研究和工作。SBOM话题在RSAC 2024的多个环节中都有讨论。

在Track Session环节,Finite State的产品安全总监分享了如何将SBOM纳入测试工具箱,以及具体的实例和实施流程的建议;Aloft的安全与风险经理从供应链透明度工件1.0、2.0、3.0的范围定义入手,介绍了SBOM在合规、安全方面的作用及相关工具,并针对组织应用SBOM的流程给出了建议。

本次大会设立的9个研讨会(Seminar)中,就有一个是以“SBOM:好的、坏的和丑陋的”为主题的,该研讨会在5月8日上午举行,围绕SBOM的概述和实施、CycloneDX认证、新领域的SBOM(如SaasBOM、AI/ML-BOM、CBOM等)、从SBOM中获得商业价值等4个方向,探讨SBOM的优点、局限性和陷阱。

在赞助商简报(Sponsor Briefing)环节,Synopsys和Sonatype等公司分享了SBOM在现代网络风险管理、漏洞识别和修复、潜在攻击防范等方面的重要作用、相关的配套技术和工具(如软件成分分析SCA、威胁模型、持续威胁监控等),以及相应的实践经验。

2、更多供应链安全框架纳入了对AI因素的考量

随着AI/ML(开源)框架应用于业务系统、AI技术应用于编码等开发环节的情况越来越普遍,组织在实施软件供应链安全措施时,也会更多的考虑这些AI因素。

GitHub副总裁在《AI、软件供应链和其他令人费解的部分》的议题中提到,92%的美国开发者使用AI编码工具。他列出了三类加强软件供应链安全的方法和系统,即软件安全和隐私(代码安全、敏感信息扫描)、平台/开发者安全(第三方集成安全、双因子认证/Passkeys)、构建系统和依赖关系(依赖分析和SBOM、构建出处分析),并探讨了AI与这些方法和系统一起来增强供应链保护能力的途经。

Thales软件安全总监在《确保软件供应链安全:问题、解决方案和AI/ML挑战》议题中,列举了针对供应链的8类攻击面,介绍了业务系统因引入AI/ML框架而可能带来的安全风险,并从数据安全、模型安全、平台安全、安全合规、人员安全5个方面给出了保障AI/ML供应链的目标和技术。在最佳实践建议部分,他也提到了应定义并实现安全的AI/ML框架、验证ML模型或数据集的完整性。

3、开源软件安全议题较少,但均与OpenSSF相关

可能是由于近年来美国在开源软件安全方面组织的各层次会议较多,如白宫开源软件安全峰会、北美开源峰会SOSS,以及各种OpenSSF日活动等,导致了在RSAC 2024上,专门探讨开源软件安全的议题并不多,但它们都涉及到OpenSSF的一些工作或项目。

DARPA主任助理和OpenSSF总经理联合奉献了《破解代码:揭示开源安全与AI的协同作用》的议题。OpenSSF去年8月就与DARPA开展合作,支持其牵头的人工智能网络挑战赛(AIxCC)。本议题列出了能够帮助解决AI安全问题的多个评估框架和工具,其中包括OpenSSF的Scorecard和Sigstore;介绍了围绕使用大模型和生成式AI发现开源软件漏洞的目标,在AIxCC中设计合理的评分公式和原则,以挑选出优秀团队和成果的方法。

Veracode首席研究官等专家基于对实际生产应用的1140多万次软件成分(SCA)扫描及对其中使用的3万多个开源项目分析所得的数据,分享了《量化开源缺陷的概率》的议题。他们将这些扫描分析结果与OpenSSF已计算出的开源库Scorecard分值进行交叉关联,并在已知漏洞、许可证、代码审计、二进制工件、依赖更新工具、分支保护等近20个维度上进行量化分析,从而发现了与安全存储库相关的属性。

4、供应链安全细分领域正在得到更多关注

RSAC 2024上还有一些关于软件供应链安全细分技术领域的议题,最典型的是对于开发工具和基础设施、知识产权、生命周期终止(EOL)软件等所涉及的安全风险应对方法的讨论。

Mitiga首席技术官介绍了近年来针对开发工具和SaaS、Git、CI/CD平台、开源存储库等开发基础设施进行攻击的实例、类型和趋势,并给出了通过预防、检测、响应的三步骤方法和具体实施措施加强其安全性的方案;Akamai高级副总裁兼首席安全官在《确保现代应用程序的安全:从代码到基础设施》的议题中也关注了基础设施的安全性。

思科高级信息安全架构师分享了他们的供应链安全计划,包括资产识别、安全风险识别和评分、知识产权(IP)保护和防伪技术、第三方安全评估、其他安全措施5方面内容,其中着重介绍了IP保护和防伪技术的实践,涉及开发DLP策略、敏感数据识别和分类、使用加密等7方面最佳实践,以及利用思科的第三方生态系统,在整个解决方案生命周期内提供不受损害的完整性的防伪技术等。

针对EOL软件的安全管理,CISA高级顾问给出了最新研究进展。在去年7月美国白宫发布的《国家网络安全战略实施计划》中就提到,CISA将探讨为生命周期/支持终止的软件建立一个全球可访问数据库的需求。此外,OWASP发布的10大开源软件风险的第4、5项风险就涉及无维护和过期的开源软件。由此可见,此类问题已得到普遍的关注。演讲者介绍了相关概念和政策框架,并提出了使用数据支持政策的解决方法,即通过CISA的“软件识别生态系统选择分析”项目和一些自动化工具来获取相关数据,以便对EOL软件实施管理。

此外,在开发流程安全管理方面,Scribe Security在赞助商简报环节介绍了基于证据的SDLC护栏的概念,并将其作为代码在CI/CD中实现。这是一项供应链安全即代码的实践,可简化安全控制,平衡大规模软件开发的敏捷性和安全性。

二、对软件供应链安全研究工作的启示

基于对RSAC 2024软件供应链安全议题的盘点,对软件供应链安全工作带来两个方面的启示:

应充分考虑“软件供应链安全+AI”的研究工作模式

一方面,AI技术自身存在多方面的安全风险,特别是开发中第三方AI/ML框架的引入,会带来新的供应链安全问题。因此,针对这些风险,需要在框架或模型引入或系统上线之前,进行检测和处置,避免将安全问题带入运行环节引发供应链安全事件;另一方面,AI技术本身作为能够极大提升效率的基础方法,可以应用于软件供应链安全分析、检测和管理的各个环节,如代码安全分析、开源软件漏洞分析等,从而提升相应分析的能级。因此,在软件供应链安全的研究工作中,应考虑“AI for Supply Chain Security”和“Supply Chain Security for AI”两方面的实践。

应加快软件物料清单(SBOM)相关的研究和应用

我国的国家标准《软件物料清单数据格式》即将公开征求意见,4月份刚发布的《GB/T 43698-2024 软件供应链安全要求》和《GB/T 43848-2024 软件产品开源代码安全评价方法》也有关于SBOM基础字段的定义和对SBOM完备性、可追溯性的要求。应基于这些标准的要求,推进基于SBOM的安全风险治理的落地,具体包括:软件供应方采用开源安全治理工具监测开源物料并消减其风险,监测所使用物料的安全漏洞等风险并及时为用户提供技术支持,生成SBOM并随产品提供;软件最终用户验证SBOM以确认软件成分和安全风险,在软件日常运行中,基于SBOM持续跟踪软件物料相关的威胁情报,及时采取措施等。

关 于 作 者

董国伟,虎符智库专家,奇安信集团代码安全实验室高级专家,博士,从事网络安全、软件安全、代码审计和漏洞分析相关工作近20年。

声明:本文来自虎符智库,版权归作者所有。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.xdnf.cn/news/1423791.html

如若内容造成侵权/违法违规/事实不符,请联系一条长河网进行投诉反馈,一经查实,立即删除!

相关文章

Jenkins Pipeline常用插件整理

大家好,前段时间和大家分享了在Docker中安装Jenkins,今天给大家分享一下Jenkins Pipeline相关的一些插件,当涉及到 Jenkins Pipeline,插件是使其功能更强大、更灵活的关键。让我们一起来探索一些常用的 Jenkins Pipeline 插件&…

Edge(微软)——一款充满创新精神的浏览器

随着科技的不断进步,互联网浏览器已经成为我们日常生活中不可或缺的工具。在这个领域,微软Edge作为一款新型的浏览器,凭借其独特的功能和优秀的性能,逐渐在市场上占据了一席之地。本文将深入探索微软Edge的特点、优势以及它如何改…

IT行业的现状与未来发展趋势:重塑生活与工作的无限可能

随着科技的飞速发展,IT行业已经逐渐从幕后走到台前,成为推动全球经济和社会发展的核心动力。从云计算的普及、大数据的崛起,到人工智能的爆发,再到物联网、5G通信和区块链技术的日新月异,这些技术不仅正在深刻改变着我…

华为昇腾310B1平台视频解码失败[ERROR] Send frame to vdec failed, errorno:507018

目录 1 [ERROR] Send frame to vdec failed, errorno:507018 2 bug解决尝试1 3 bug解决尝试2 4 最终解决方法 参考文献: 1 [ERROR] Send frame to vdec failed, errorno:507018 某项目中的代码运行报错 [ERROR] Send frame to vdec failed, errorno:507018 Ac…

C#知识|上位机子窗体嵌入主窗体方法(实例)

哈喽,你好啊,我是雷工! 上位机开发中,经常会需要将子窗体嵌入到主窗体, 本节练习C#中在主窗体的某个容器中打开子窗体的方法。 01 需求说明 本节练习将【账号管理】子窗体在主窗体的panelMain容器中打开。 账号管理子窗体如下: 主窗体的panelMain容器位置如图: 02 实现…

【跟着例子学MySQL】生成统计报告 --分组聚合

文章目录 前言生成报告DISTINCT 关键字GROUP BY 子句GROUP BY 聚合函数HAVING 子句WITH ROLLUP 子句未完待续 前言 举例子,是最简单有效的学习方法。本系列文章以一个贯穿始终的场景,结合多个实例讲解MySQL的基本用法。 ❔ 为什么要写这个系列&#xff…

正点原子FreeRTOS学习笔记——列表与列表项

目录 一、什么是列表和列表项 1、概念 2、FreeRTOS代码 (1)列表 (2)列表项 (3)迷你列表项 二、列表与列表项初始化 1、列表初始化 2、列表项初始化 三、列表插入与删除列表项 1、原理解释 2、…

详解xlsxwriter 操作Excel的常用API

我们知道可以通过pandas 对excel 中的数据进行处理分析,但是pandas本身对格式化数据方面提供了很少的支持,如果我们想对pandas进行数据分析后的数据进行格式化相关操作,我们可以使用xlsxwriter,本文就对xlsxwriter的常见excel格式…

从0到1,百亿级任务调度平台的架构与实现

尼恩:百亿级海量任务调度平台起源 在40岁老架构师 尼恩的读者交流群(50)中,经常性的指导小伙伴们改造简历。 经过尼恩的改造之后,很多小伙伴拿到了一线互联网企业如得物、阿里、滴滴、极兔、有赞、希音、百度、网易、美团的面试机会&#x…

28、查看Qt源码

一、方法1 在安装Qt时,需要勾选“Sources” 在Qt的安装目录Qt5.12.10\5.12.10\Src中可以找到Qt的源码 二、方法2 访问如下网址(需要翻墙) https://codebrowser.dev/ 在搜索框中输入要查找的信息,如:QMainWindow&…

中腾食品上海食堂承包创新食堂空间,构建企业第三文化沙龙

在快节奏的现代职场生活中,企业食堂已不再是简单的餐饮供应地,而是逐渐演变成为员工休息休闲、互动体验、阅读思考的重要场所。中腾国际团餐产业集团通过专业的定制化食堂承包,在企业食堂内部打造企业第三文化空间,为员工提供一个…

机器视觉中的打光技巧、选择光源的流程

目录 基本原则选择照明的考虑因素明场照明和暗场照明全明场照明(漫射照明)技术 特定光源1. 环形光源2. 条形光源3. 同轴光源3.1 何时使用同轴照明?3.2 何时不使用同轴照明? 4. 背光源5. 远心照明6. 点光源7. 穹顶光源8. 线光源9. …

Mixtral

文章目录 一、关于 MixtralMistral AI、 La PlateformeMistral AI LLMs 二、Mistral AI API账户设置 三、Mixtral 说明通过稀疏架构推动开放模型的前沿表现Instructed 模型使用开源部署堆栈部署 Mixtral在我们的平台上使用 Mixtral。 一、关于 Mixtral 官网:https:…

网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题

在数字化日益发展的今天,随着互联网的普及和深入,网站安全已成为企业、组织乃至个人都必须高度重视的安全问题。而网站漏洞作为威胁网站安全的重要因素之一,其类型多种多样,不仅可能导致数据泄露、系统崩溃,还可能为黑…

在 Cython 中高效访问 scipy lil_matrix

在 Cython 中高效地访问 scipy 的 lil_matrix(LInked List format)可以通过以下步骤实现: 导入所需的模块: 首先,导入必要的模块,包括 numpy 和 scipy.sparse 中的 lil_matrix。定义函数原型: …

Python邮件处理库之flanker使用详解

概要 Flanker是一个开源的邮件处理库,专门设计用于解析、验证和构建电子邮件地址和MIME消息。由Mailgun开发,它旨在提高邮件处理的效率和准确性,尤其适用于需要高效邮件验证和解析的应用程序。 安装 安装Flanker非常简单,可以通过Python的包管理器pip进行安装: pip ins…

基于uniapp+vue3+ts开发微信小程序项目实战

🚀 作者 :“二当家-小D” 🚀 博主简介:⭐前荔枝FM架构师、阿里资深工程师||曾任职于阿里巴巴担任多个项目负责人,8年开发架构经验,精通java,擅长分布式高并发架构,自动化压力测试,微服务容器化k…

重磅消息!OpenAI取消短信验证码注册账号!

博主猫头虎的技术世界 🌟 欢迎来到猫头虎的博客 — 探索技术的无限可能! 专栏链接: 🔗 精选专栏: 《面试题大全》 — 面试准备的宝典!《IDEA开发秘籍》 — 提升你的IDEA技能!《100天精通鸿蒙》 …

Leetcode—3148. 矩阵中的最大得分【中等】

2024每日刷题&#xff08;137&#xff09; Leetcode—3148. 矩阵中的最大得分 算法思想 实现代码 class Solution { public:int maxScore(vector<vector<int>>& grid) {int m grid.size();int n grid[0].size();int ans INT_MIN;vector<vector<int&…

Elasticsearch 在滴滴的应用与实践

滴滴 Elasticsearch 简介 简介 Elasticsearch 是一个基于 Lucene 构建的开源、分布式、RESTful 接口的全文搜索引擎&#xff0c;其每个字段均可被索引&#xff0c;且能够横向扩展至数以百计的服务器存储以及处理 TB 级的数据&#xff0c;其可以在极短的时间内存储、搜索和分析大…