RSAC 2024观察:软件供应链安全进入AI+时代

2024-05-15 12:20

本文主要是介绍RSAC 2024观察:软件供应链安全进入AI+时代,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

盘点RSAC会议上软件供应链安全议题的特点、趋势及启示。

网络安全行业备受关注的RSAC 2024刚刚落下帷幕,今年大会的创新沙盒比赛打破了之前五年均有软件供应链安全初创公司进入10强的惯例,但这并未影响软件供应链安全议题成为大会必选项,并引发广大从业者极大兴趣的状况。本文就来盘点一下今年RSAC会议上软件供应链安全议题的特点、趋势及启示。

一、RSAC 2024软件供应链安全议题内容分析

1、软件物料清单(SBOM)成为热门话题

这一现象与SBOM近年来的研究热度有关。在前几年完成了SBOM最小要素、数据格式等基础内容的规范后,美国目前正在CISA等机构的协调下,聚焦于SBOM的应用落地和易用性优化等的研究和工作。SBOM话题在RSAC 2024的多个环节中都有讨论。

在Track Session环节,Finite State的产品安全总监分享了如何将SBOM纳入测试工具箱,以及具体的实例和实施流程的建议;Aloft的安全与风险经理从供应链透明度工件1.0、2.0、3.0的范围定义入手,介绍了SBOM在合规、安全方面的作用及相关工具,并针对组织应用SBOM的流程给出了建议。

本次大会设立的9个研讨会(Seminar)中,就有一个是以“SBOM:好的、坏的和丑陋的”为主题的,该研讨会在5月8日上午举行,围绕SBOM的概述和实施、CycloneDX认证、新领域的SBOM(如SaasBOM、AI/ML-BOM、CBOM等)、从SBOM中获得商业价值等4个方向,探讨SBOM的优点、局限性和陷阱。

在赞助商简报(Sponsor Briefing)环节,Synopsys和Sonatype等公司分享了SBOM在现代网络风险管理、漏洞识别和修复、潜在攻击防范等方面的重要作用、相关的配套技术和工具(如软件成分分析SCA、威胁模型、持续威胁监控等),以及相应的实践经验。

2、更多供应链安全框架纳入了对AI因素的考量

随着AI/ML(开源)框架应用于业务系统、AI技术应用于编码等开发环节的情况越来越普遍,组织在实施软件供应链安全措施时,也会更多的考虑这些AI因素。

GitHub副总裁在《AI、软件供应链和其他令人费解的部分》的议题中提到,92%的美国开发者使用AI编码工具。他列出了三类加强软件供应链安全的方法和系统,即软件安全和隐私(代码安全、敏感信息扫描)、平台/开发者安全(第三方集成安全、双因子认证/Passkeys)、构建系统和依赖关系(依赖分析和SBOM、构建出处分析),并探讨了AI与这些方法和系统一起来增强供应链保护能力的途经。

Thales软件安全总监在《确保软件供应链安全:问题、解决方案和AI/ML挑战》议题中,列举了针对供应链的8类攻击面,介绍了业务系统因引入AI/ML框架而可能带来的安全风险,并从数据安全、模型安全、平台安全、安全合规、人员安全5个方面给出了保障AI/ML供应链的目标和技术。在最佳实践建议部分,他也提到了应定义并实现安全的AI/ML框架、验证ML模型或数据集的完整性。

3、开源软件安全议题较少,但均与OpenSSF相关

可能是由于近年来美国在开源软件安全方面组织的各层次会议较多,如白宫开源软件安全峰会、北美开源峰会SOSS,以及各种OpenSSF日活动等,导致了在RSAC 2024上,专门探讨开源软件安全的议题并不多,但它们都涉及到OpenSSF的一些工作或项目。

DARPA主任助理和OpenSSF总经理联合奉献了《破解代码:揭示开源安全与AI的协同作用》的议题。OpenSSF去年8月就与DARPA开展合作,支持其牵头的人工智能网络挑战赛(AIxCC)。本议题列出了能够帮助解决AI安全问题的多个评估框架和工具,其中包括OpenSSF的Scorecard和Sigstore;介绍了围绕使用大模型和生成式AI发现开源软件漏洞的目标,在AIxCC中设计合理的评分公式和原则,以挑选出优秀团队和成果的方法。

Veracode首席研究官等专家基于对实际生产应用的1140多万次软件成分(SCA)扫描及对其中使用的3万多个开源项目分析所得的数据,分享了《量化开源缺陷的概率》的议题。他们将这些扫描分析结果与OpenSSF已计算出的开源库Scorecard分值进行交叉关联,并在已知漏洞、许可证、代码审计、二进制工件、依赖更新工具、分支保护等近20个维度上进行量化分析,从而发现了与安全存储库相关的属性。

4、供应链安全细分领域正在得到更多关注

RSAC 2024上还有一些关于软件供应链安全细分技术领域的议题,最典型的是对于开发工具和基础设施、知识产权、生命周期终止(EOL)软件等所涉及的安全风险应对方法的讨论。

Mitiga首席技术官介绍了近年来针对开发工具和SaaS、Git、CI/CD平台、开源存储库等开发基础设施进行攻击的实例、类型和趋势,并给出了通过预防、检测、响应的三步骤方法和具体实施措施加强其安全性的方案;Akamai高级副总裁兼首席安全官在《确保现代应用程序的安全:从代码到基础设施》的议题中也关注了基础设施的安全性。

思科高级信息安全架构师分享了他们的供应链安全计划,包括资产识别、安全风险识别和评分、知识产权(IP)保护和防伪技术、第三方安全评估、其他安全措施5方面内容,其中着重介绍了IP保护和防伪技术的实践,涉及开发DLP策略、敏感数据识别和分类、使用加密等7方面最佳实践,以及利用思科的第三方生态系统,在整个解决方案生命周期内提供不受损害的完整性的防伪技术等。

针对EOL软件的安全管理,CISA高级顾问给出了最新研究进展。在去年7月美国白宫发布的《国家网络安全战略实施计划》中就提到,CISA将探讨为生命周期/支持终止的软件建立一个全球可访问数据库的需求。此外,OWASP发布的10大开源软件风险的第4、5项风险就涉及无维护和过期的开源软件。由此可见,此类问题已得到普遍的关注。演讲者介绍了相关概念和政策框架,并提出了使用数据支持政策的解决方法,即通过CISA的“软件识别生态系统选择分析”项目和一些自动化工具来获取相关数据,以便对EOL软件实施管理。

此外,在开发流程安全管理方面,Scribe Security在赞助商简报环节介绍了基于证据的SDLC护栏的概念,并将其作为代码在CI/CD中实现。这是一项供应链安全即代码的实践,可简化安全控制,平衡大规模软件开发的敏捷性和安全性。

二、对软件供应链安全研究工作的启示

基于对RSAC 2024软件供应链安全议题的盘点,对软件供应链安全工作带来两个方面的启示:

应充分考虑“软件供应链安全+AI”的研究工作模式

一方面,AI技术自身存在多方面的安全风险,特别是开发中第三方AI/ML框架的引入,会带来新的供应链安全问题。因此,针对这些风险,需要在框架或模型引入或系统上线之前,进行检测和处置,避免将安全问题带入运行环节引发供应链安全事件;另一方面,AI技术本身作为能够极大提升效率的基础方法,可以应用于软件供应链安全分析、检测和管理的各个环节,如代码安全分析、开源软件漏洞分析等,从而提升相应分析的能级。因此,在软件供应链安全的研究工作中,应考虑“AI for Supply Chain Security”和“Supply Chain Security for AI”两方面的实践。

应加快软件物料清单(SBOM)相关的研究和应用

我国的国家标准《软件物料清单数据格式》即将公开征求意见,4月份刚发布的《GB/T 43698-2024 软件供应链安全要求》和《GB/T 43848-2024 软件产品开源代码安全评价方法》也有关于SBOM基础字段的定义和对SBOM完备性、可追溯性的要求。应基于这些标准的要求,推进基于SBOM的安全风险治理的落地,具体包括:软件供应方采用开源安全治理工具监测开源物料并消减其风险,监测所使用物料的安全漏洞等风险并及时为用户提供技术支持,生成SBOM并随产品提供;软件最终用户验证SBOM以确认软件成分和安全风险,在软件日常运行中,基于SBOM持续跟踪软件物料相关的威胁情报,及时采取措施等。

关 于 作 者

董国伟,虎符智库专家,奇安信集团代码安全实验室高级专家,博士,从事网络安全、软件安全、代码审计和漏洞分析相关工作近20年。

声明:本文来自虎符智库,版权归作者所有。

这篇关于RSAC 2024观察:软件供应链安全进入AI+时代的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/991826

相关文章

基于Flask框架添加多个AI模型的API并进行交互

《基于Flask框架添加多个AI模型的API并进行交互》:本文主要介绍如何基于Flask框架开发AI模型API管理系统,允许用户添加、删除不同AI模型的API密钥,感兴趣的可以了解下... 目录1. 概述2. 后端代码说明2.1 依赖库导入2.2 应用初始化2.3 API 存储字典2.4 路由函数2.5 应

Spring AI ectorStore的使用流程

《SpringAIectorStore的使用流程》SpringAI中的VectorStore是一种用于存储和检索高维向量数据的数据库或存储解决方案,它在AI应用中发挥着至关重要的作用,本文给大家介... 目录一、VectorStore的基本概念二、VectorStore的核心接口三、VectorStore的

最新Spring Security实战教程之Spring Security安全框架指南

《最新SpringSecurity实战教程之SpringSecurity安全框架指南》SpringSecurity是Spring生态系统中的核心组件,提供认证、授权和防护机制,以保护应用免受各种安... 目录前言什么是Spring Security?同类框架对比Spring Security典型应用场景传统

WiFi6时代来临! 华三H3C NX54路由器还值得购买吗?

《WiFi6时代来临!华三H3CNX54路由器还值得购买吗?》WiFi6时代已经来临,众多路由器厂商也纷纷推出了兼容WiFi6协议的路由器,今天我们将深入体验H3CNX54路由器,这款由知名企业... 随着科技的发展,WiFi6逐渐走进了我们的日常生活之中,相比WiFi5来说,WiFi6拥有更高的带宽、更高

Spring AI集成DeepSeek三步搞定Java智能应用的详细过程

《SpringAI集成DeepSeek三步搞定Java智能应用的详细过程》本文介绍了如何使用SpringAI集成DeepSeek,一个国内顶尖的多模态大模型,SpringAI提供了一套统一的接口,简... 目录DeepSeek 介绍Spring AI 是什么?Spring AI 的主要功能包括1、环境准备2

Spring AI集成DeepSeek实现流式输出的操作方法

《SpringAI集成DeepSeek实现流式输出的操作方法》本文介绍了如何在SpringBoot中使用Sse(Server-SentEvents)技术实现流式输出,后端使用SpringMVC中的S... 目录一、后端代码二、前端代码三、运行项目小天有话说题外话参考资料前面一篇文章我们实现了《Spring

Spring AI与DeepSeek实战一之快速打造智能对话应用

《SpringAI与DeepSeek实战一之快速打造智能对话应用》本文详细介绍了如何通过SpringAI框架集成DeepSeek大模型,实现普通对话和流式对话功能,步骤包括申请API-KEY、项目搭... 目录一、概述二、申请DeepSeek的API-KEY三、项目搭建3.1. 开发环境要求3.2. mav

C#集成DeepSeek模型实现AI私有化的流程步骤(本地部署与API调用教程)

《C#集成DeepSeek模型实现AI私有化的流程步骤(本地部署与API调用教程)》本文主要介绍了C#集成DeepSeek模型实现AI私有化的方法,包括搭建基础环境,如安装Ollama和下载DeepS... 目录前言搭建基础环境1、安装 Ollama2、下载 DeepSeek R1 模型客户端 ChatBo

Spring AI集成DeepSeek的详细步骤

《SpringAI集成DeepSeek的详细步骤》DeepSeek作为一款卓越的国产AI模型,越来越多的公司考虑在自己的应用中集成,对于Java应用来说,我们可以借助SpringAI集成DeepSe... 目录DeepSeek 介绍Spring AI 是什么?1、环境准备2、构建项目2.1、pom依赖2.2

Deepseek R1模型本地化部署+API接口调用详细教程(释放AI生产力)

《DeepseekR1模型本地化部署+API接口调用详细教程(释放AI生产力)》本文介绍了本地部署DeepSeekR1模型和通过API调用将其集成到VSCode中的过程,作者详细步骤展示了如何下载和... 目录前言一、deepseek R1模型与chatGPT o1系列模型对比二、本地部署步骤1.安装oll