开源软件供应链:从技术到商业的安全风险演变
网络安全团队还可以监控攻击或行动指标 (IOA),例如异常的系统行为或新的连接。识别此类行为异常是人工智能的理想应用场景,因为机器学习擅长模式识别和异常行为检测。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
从开源库到人工智能驱动的编码助手,以速度为导向的开发正在引入新的第三方风险,而威胁行为者正日益利用这些风险。
硅谷“快速行动,打破常规”的信条将增长置于一切之上。不幸的是,这种速度也导致软件供应链漏洞的快速引入。从开源软件库到人工智能编码助手,这些工具虽然能够实现快速创新,但也为网络犯罪分子提供了可乘之机。
第三方风险一直存在,但并非始终备受关注。过去十年,勒索软件占据了新闻头条,也牵动着网络安全领导者的心。近年来,国家级威胁和日益增长的网络战风险逐渐凸显。然而,无论其动机或运作方式如何,软件供应链中的漏洞都是网络攻击的理想目标。
SolarWinds 的数据泄露事件敲响了警钟,提醒人们注意第三方风险的危险性。即使你的防御措施再严密,如果上游服务提供商拥有通往企业内部的安全通道,一切也无济于事。Log4J 的Log4Shell漏洞则揭示了第三方风险如何在开源软件库中滋生,而这些开源软件库已被广泛采用并集成到企业服务中。漏洞一旦被披露,攻击者便立即展开扫描。
最近,网络攻击者将目光转向了人工智能编码助手及其产生的虚假响应,例如,他们会错误地识别出一个并不存在的软件库。当攻击者识别出一个虚假的软件库时,他们会注册一个同名的恶意二进制文件。开发者会在不知情的情况下将这些恶意软件集成到他们的代码中。网络安全研究人员将这种攻击称为“恶意域名抢注”(slopsquatting)。
因此,DevOps和网络安全都需要更加积极主动地识别和应对这些风险。DevOps将此称为“左移”,网络安全称之为“防暴预警”。可见性是这种方法的基础。
第三方风险的遗留问题
第三方风险并非新鲜事。供应链攻击的案例至少可以追溯到二十年前。例如,2003年就有人试图在Linux内核中植入后门,此事臭名昭著。然而,直到2020年SolarWinds数据泄露事件发生后,各组织才开始真正重视第三方风险。
SolarWinds的数据泄露事件是一起由俄罗斯高级持续性威胁 (APT) 组织实施的精心策划的供应链攻击。受感染的软件更新向18,000 名客户推送了恶意后门,使攻击者能够访问包括数十个美国联邦机构在内的高价值目标。
一年后,Log4J的一个漏洞Log4Shell引发了一场重大的供应链安全危机。Log4J是Java 生态系统中一个流行的开源日志库,被嵌入到数亿个应用程序和设备中。在运营技术 (OT) 环境中,此类漏洞的问题尤为严重,因为这些环境包含关键业务资产和难以甚至无法修复的遗留技术。
许多组织利用开源软件库来加速创新并降低成本,但对于Log4J而言,这种便利却以软件暴露在风险之中为代价。在Log4Shell漏洞披露后的几周内,各组织争相查找哪些供应商在其解决方案中集成了Log4J,而供应商则不得不向客户保证一切都在掌控之中,并推出补救计划。
请不要破坏我的好心情。
“Vibe编码”已成为生成式人工智能领域一款引人注目的“杀手级应用”。据GitHub统计,过去一年中,97%的开发者都使用过人工智能工具。然而,过度依赖人工智能生成的代码会给代码库带来安全漏洞。
学术研究人员发现,在16种领先的代码生成工具中,19%的推荐软件包并不存在,43%的虚构软件包每次都重复出现。
恶意攻击者正主动发现这些虚构的软件包,并抢先注册同名恶意代码。Python软件基金会的一位开发者将这种攻击称为“slopsquatting”(拼写错误抢注),因为它与网络域名抢注或拼写错误抢注非常相似。
例如,恶意软件“ccxt-mexc-futures”在公共软件仓库PyPl上被注册并下载超过1000次。该恶意软件修改了用于加密货币交易的关键操作;然而,鉴于Shai-Hulud蠕虫最近在PyPl上成功传播,抢注域名很可能成为未来发起高调蠕虫攻击的一种途径。
在企业之外,在攻击发生之前
这些第三方风险案例之间存在诸多差异。SolarWinds数据泄露事件是一起针对性极强的供应链攻击,凸显了供应链完整性问题。Log4J漏洞在当时被认为是迄今为止披露的最广泛漏洞,这也凸显了供应链可观测性的必要性。而域名抢注攻击的出现则要求对人工智能辅助编码进行更严格的监管。
这里的一个共同主题是需要提高透明度。供应链中软件依赖关系的复杂性使得漏洞和风险的监控变得困难。DevOps 需要“左移”,在风险方面更加积极主动和透明,以便网络安全团队能够在风险被利用之前(即防患于未然)识别并修复这些风险。
组织可以通过软件物料清单 (SBOM) 来审核软件的来源,从而跟踪每个依赖项的出处和版本。静态应用程序安全测试 (SAST) 和动态应用程序安全测试 (DAST) 可以识别可能被攻击者利用的漏洞。同样,可见性是这种方法的关键。组织需要首先建立全面的资产清单,以便评估特定应用程序对业务的影响。
网络安全团队还可以监控攻击或行动指标 (IOA),例如异常的系统行为或新的连接。识别此类行为异常是人工智能的理想应用场景,因为机器学习擅长模式识别和异常行为检测。
对于人工智能编码助手,开发者需要意识到其存在的风险,例如账户身份验证和输入验证方面的缺陷。开发者应在提示信息中嵌入安全措施,例如多因素身份验证 (MFA) 锁定和输入清理。此外,如今比以往任何时候都更加重要的是,必须进行人工审核和应用程序安全测试。
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
京东直播新动作:刚需复杂指令与自由态数字人如何升级
编辑|泽南刚刚落幕的 2026 科技界「春晚」GTC 大会上,一个全行业的共识已经形成:AI 正在进入智能体(Agent)时代。然而,当各大厂商都在疯狂入局智能体时,一个尴尬的现实却摆在面前:这些聪
玻色量子完成10亿元B轮融资,刷新行业融资纪录
2026年3月31日,“十五五”规划专用量子计算机赛道唯一代表企业——北京玻色量子科技有限公司(以下简称“玻色量子”)完成10亿元B轮融资。本轮融资由北京金控、工银资本、朝阳顺禧、招银国际、深投控和
GitLab创始人借力AI抗癌:ChatGPT在现实世界中的真实用途
Sid 这个案例最震撼我的,不是“AI 参与抗癌”这几个字本身。而是它让我第一次很清楚地感觉到:AI 真正的用途,可能从来都不是回答问题。而是进入那些原本只有专家团队才能推进的复杂现实,把前面的认知
Claude已会点外卖!揭秘AI批量替代创业公司的未来危机
说句心里话,我确实不太待见 Anthropic(Claude 背后那家公司),但这并不妨碍它依然是目前全球最顶尖、最牛掰的 AI 公司,没有之一。这个世界就是这么现实:能力强弱和是非对错,那是两码事
黄仁勋站台的抱抱脸机器人卖爆了,背后公司竟来自中国
henry 发自 凹非寺量子位 | 公众号 QbitAI还记得Hugging Face去年推出的桌面机器人Reachy Mini吗?在刚发布的时候,量子位曾第一时间报道过这只身高28cm、体重1 5
- 日榜
- 周榜
- 月榜
相关攻略
2015-03-10 11:25
2015-03-10 11:05
2021-08-04 13:30
2015-03-10 11:22
2015-03-10 12:39
2022-05-16 18:57
2025-05-23 13:43
2025-05-23 14:01
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程
