牢筑AI引擎安全防线,两大策略助力开发人员保障软件开发安全

发布时间:2024-08-07  

作者:JFrog 大中华区和日本地区总经理 董任远

随着人工智能/机器学习(AI/ML)及大型语言模型(LLM)技术的快速发展,软件开发领域正在发生日新月异的变化。根据最近一项对全球1200名技术专业人士的调查发现,超过90%的高管表示他们的团队在软件应用中使用ML模型,88%的高管表示AI/ML工具被集成到他们的安全扫描和漏洞修复流程中。随着LLM的日益普及,将AIML集成到软件产品中的趋势成为越来越多开发者的关注焦点。这一趋势在推动行业创新的同时,也带来了不容忽视的安全风险,尤其是当开发者缺乏资源来全天候确保安全开发实践时,安全隐患尤为显著。

在网络安全领域,安全疏忽可能导致恶意代码插入到AI/ML模型中等后果。安全无小事,任何漏洞都可能为网络犯罪分子提供可乘之机,使其分发被破解的开源软件(OSS)模型,进而入侵企业内网并造成巨大的经济和声誉损失。

此外,生成式AI在代码编写中的广泛应用,虽提升了效率,然而在快节奏的开发环境中,开发者往往难以全面审核生成代码的安全性,这也带来了新的安全隐患。为了应对这些挑战,从代码生成的那一刻起,就必须实施严格的安全审查,深入至二进制级别,以防范潜在的软件供应链安全风险。

面对这些持续升级的安全挑战,其严峻性随着网络犯罪分子不断寻找AI/ML技术的最新漏洞而日益加剧。因此,开发者必须主动出击,将安全措施深度融入工作流程的每一个环节,自项目之初便构建起坚固的安全防线,守护企业的软件供应链安全。

在此过程中,除了开发团队需肩负重任外,全员参与、共筑安全防线同样至关重要。通过持续的安全教育与培训,提升开发者的安全意识,并将这份安全意识传递给每位员工,使每位员工都能成为企业安全防线的守护者。随着AIML技术的发展,当企业的每一个员工都能紧跟安全技术的最新步伐时,每个人都将从中受益。

实现开发人员的角色升级

对于开发者而言,在软件生命周期的初期考虑安全性仍是一个相对较新的做法,常规情况下,开发者往往在软件开发的后期才考虑安全性问题。很多时候,二进制层面的安全性被视为锦上添花而非必不可少。而恶意攻击者正是利用这一疏忽,寻找将ML模型武器化以对抗企业安全措施的方法,并设法将恶意逻辑注入到最终的二进制文件中。

此外,许多开发者在开发早期阶段并未接受将安全性嵌入代码所需的必要培训。这带来的主要影响是,由AI在开源仓库上训练生成的代码往往没有得到充分的漏洞审查,且缺乏全面的安全控制来保护用户和企业免受攻击。虽然这种做法可能在短期内为开发者节省了时间和资源,但开发者却在不知不觉中使企业暴露于来自企业外部的众多风险之中。一旦代码被应用到AI/ML模型中,这些漏洞的影响就会更加显著,甚至可能逃过检测。

值得注意的是,九成专业人士表示他们的企业正在利用AI/ML技术进行安全扫描和漏洞修复工作。这一趋势表明,传统的开发者角色已经难以应对日益复杂的安全挑战。因此,开发者也必须成为安全专家,通过在开发初期就构建安全解决方案,开发者不仅能提升关键工作流程的效率,还能为整个企业的安全性奠定坚实基础。

为了实现这一目标,企业应加大对开发者的定期培训投入,并提供必要的资源支持,帮助他们及时掌握最新的安全威胁和应对策略。同时,加强开发团队与安全团队之间的协作也至关重要,从而确保安全措施能够无缝融入开发流程之中。这种跨部门的合作不仅有助于提升AI/ML模型的安全性,还能构建起更加坚固的防御体系。将安全性贯穿于开发过程的每一个环节,将成为确保AI/ML技术安全、稳定部署的关键所在。

左移策略——应被优先考虑的早期安全措施

随着不同团队持续大规模应用AIML模型中的高级安全性变得至关重要。左移策略应运而生,它主张在软件开发生命周期的早期就集成安全措施,抢先一步从多角度预防未来的安全漏洞,同时确保整个开发过程中的全面安全性。在AI/ML开发过程中,这一策略尤为重要,甚至在部署之前就要确保代码和模型的安全性和合规性,因为这些代码和模型往往来自外部来源,有时可能无法完全信任。

随着AIML成为软件开发不可或缺的核心部分,制定强大的安全政策、落实并提供相应的培训变得至关重要。开发者必须将他们的编码专业知识与深厚的安全知识结合起来,以便在开发过程的早期阶段解决关键漏洞隐患。通过左移策略,在整个软件生命周期中从初期就持续确保安全措施的部署,企业可以进一步增强与客户和员工的信任感,降低风险,并保护其免受复杂的网络威胁的骚扰。

关于JFrog

JFrog Ltd.(纳斯达克股票代码:FROG)的使命是创造一个从开发人员到设备之间畅通无阻的软件交付世界。秉承流式软件的理念,JFrog软件供应链平台是统一的记录系统,帮助企业快速安全地构建、管理和分发软件,确保软件可用、可追溯和防篡改。集成的安全功能还有助于发现和抵御威胁和漏洞并加以补救。JFrog 的混合、通用、多云平台可以作为跨多个主流云服务提供商的自托管和SaaS服务。全球数百万用户和7200多名客户,包括大多数财富100强企业,依靠JFrog解决方案安全地开展数字化转型。一用便知!如欲了解更多信息,请访问jfrogchina.com或者关注我们的微信官方账号JFrog捷蛙。


文章来源于:电子创新网    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>