牢筑AI引擎安全防線，兩大策略助力開發(fā)人員保障軟件開發(fā)安全

作者：JFrog大中華區(qū)和日本地區(qū)總經(jīng)理 董任遠

隨著人工智能/機器學習(AI/ML)及大型語言模型(LLM)技術的快速發(fā)展，軟件開發(fā)領域正在發(fā)生日新月異的變化。根據(jù)最近一項對全球1200名技術專業(yè)人士的調(diào)查發(fā)現(xiàn)，超過90%的高管表示他們的團隊在軟件應用中使用ML模型，88%的高管表示AI/ML工具被集成到他們的安全掃描和漏洞修復流程中。隨著LLM的日益普及，將AI和ML集成到軟件產(chǎn)品中的趨勢成為越來越多開發(fā)者的關注焦點。這一趨勢在推動行業(yè)創(chuàng)新的同時，也帶來了不容忽視的安全風險，尤其是當開發(fā)者缺乏資源來全天候確保安全開發(fā)實踐時，安全隱患尤為顯著。

在網(wǎng)絡安全領域，安全疏忽可能導致惡意代碼插入到AI/ML模型中等后果。安全無小事，任何漏洞都可能為網(wǎng)絡犯罪分子提供可乘之機，使其分發(fā)被破解的開源軟件(OSS)模型，進而入侵企業(yè)內(nèi)網(wǎng)并造成巨大的經(jīng)濟和聲譽損失。

此外，生成式AI在代碼編寫中的廣泛應用，雖提升了效率，然而在快節(jié)奏的開發(fā)環(huán)境中，開發(fā)者往往難以全面審核生成代碼的安全性，這也帶來了新的安全隱患。為了應對這些挑戰(zhàn)，從代碼生成的那一刻起，就必須實施嚴格的安全審查，深入至二進制級別，以防范潛在的軟件供應鏈安全風險。

面對這些持續(xù)升級的安全挑戰(zhàn)，其嚴峻性隨著網(wǎng)絡犯罪分子不斷尋找AI/ML技術的最新漏洞而日益加劇。因此，開發(fā)者必須主動出擊，將安全措施深度融入工作流程的每一個環(huán)節(jié)，自項目之初便構建起堅固的安全防線，守護企業(yè)的軟件供應鏈安全。

在此過程中，除了開發(fā)團隊需肩負重任外，全員參與、共筑安全防線同樣至關重要。通過持續(xù)的安全教育與培訓，提升開發(fā)者的安全意識，并將這份安全意識傳遞給每位員工，使每位員工都能成為企業(yè)安全防線的守護者。隨著AI和ML技術的發(fā)展，當企業(yè)的每一個員工都能緊跟安全技術的最新步伐時，每個人都將從中受益。

實現(xiàn)開發(fā)人員的角色升級

對于開發(fā)者而言，在軟件生命周期的初期考慮安全性仍是一個相對較新的做法，常規(guī)情況下，開發(fā)者往往在軟件開發(fā)的后期才考慮安全性問題。很多時候，二進制層面的安全性被視為“錦上添花”而非“必不可少”。而惡意攻擊者正是利用這一疏忽，尋找將ML模型“武器化”以對抗企業(yè)安全措施的方法，并設法將惡意邏輯注入到最終的二進制文件中。

此外，許多開發(fā)者在開發(fā)早期階段并未接受將安全性嵌入代碼所需的必要培訓。這帶來的主要影響是，由AI在開源倉庫上訓練生成的代碼往往沒有得到充分的漏洞審查，且缺乏全面的安全控制來保護用戶和企業(yè)免受攻擊。雖然這種做法可能在短期內(nèi)為開發(fā)者節(jié)省了時間和資源，但開發(fā)者卻在不知不覺中使企業(yè)暴露于來自企業(yè)外部的眾多風險之中。一旦代碼被應用到AI/ML模型中，這些漏洞的影響就會更加顯著，甚至可能逃過檢測。

值得注意的是，九成專業(yè)人士表示他們的企業(yè)正在利用AI/ML技術進行安全掃描和漏洞修復工作。這一趨勢表明，傳統(tǒng)的開發(fā)者角色已經(jīng)難以應對日益復雜的安全挑戰(zhàn)。因此，開發(fā)者也必須成為安全專家，通過在開發(fā)初期就構建安全解決方案，開發(fā)者不僅能提升關鍵工作流程的效率，還能為整個企業(yè)的安全性奠定堅實基礎。

為了實現(xiàn)這一目標，企業(yè)應加大對開發(fā)者的定期培訓投入，并提供必要的資源支持，幫助他們及時掌握最新的安全威脅和應對策略。同時，加強開發(fā)團隊與安全團隊之間的協(xié)作也至關重要，從而確保安全措施能夠無縫融入開發(fā)流程之中。這種跨部門的合作不僅有助于提升AI/ML模型的安全性，還能構建起更加堅固的防御體系。將安全性貫穿于開發(fā)過程的每一個環(huán)節(jié)，將成為確保AI/ML技術安全、穩(wěn)定部署的關鍵所在。

“左移”策略——應被優(yōu)先考慮的早期安全措施

隨著不同團隊持續(xù)大規(guī)模應用AI，ML模型中的高級安全性變得至關重要。“左移”策略應運而生，它主張在軟件開發(fā)生命周期的早期就集成安全措施，搶先一步從多角度預防未來的安全漏洞，同時確保整個開發(fā)過程中的全面安全性。在AI/ML開發(fā)過程中，這一策略尤為重要，甚至在部署之前就要確保代碼和模型的安全性和合規(guī)性，因為這些代碼和模型往往來自外部來源，有時可能無法完全信任。

隨著AI和ML成為軟件開發(fā)不可或缺的核心部分，制定強大的安全政策、落實并提供相應的培訓變得至關重要。開發(fā)者必須將他們的編碼專業(yè)知識與深厚的安全知識結合起來，以便在開發(fā)過程的早期階段解決關鍵漏洞隱患。通過“左移”策略，在整個軟件生命周期中從初期就持續(xù)確保安全措施的部署，企業(yè)可以進一步增強與客戶和員工的信任感，降低風險，并保護其免受復雜的網(wǎng)絡威脅的騷擾。

###

關于JFrog

JFrog Ltd.(納斯達克股票代碼：FROG)的使命是創(chuàng)造一個從開發(fā)人員到設備之間暢通無阻的軟件交付世界。秉承“流式軟件”的理念，JFrog軟件供應鏈平臺是統(tǒng)一的記錄系統(tǒng)，幫助企業(yè)快速安全地構建、管理和分發(fā)軟件，確保軟件可用、可追溯和防篡改。集成的安全功能還有助于發(fā)現(xiàn)和抵御威脅和漏洞并加以補救。JFrog的混合、通用、多云平臺可以作為跨多個主流云服務提供商的自托管和SaaS服務。全球數(shù)百萬用戶和7200多名客戶，包括大多數(shù)財富100強企業(yè)，依靠JFrog解決方案安全地開展數(shù)字化轉型。一用便知!如欲了解更多信息，請訪問jfrogchina.com或者關注我們的微信官方賬號：JFrog捷蛙。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。 ）