开源云原生安全的现状

这篇具有很好参考价值的文章主要介绍了开源云原生安全的现状。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

开源云原生安全的现状,网络研究院,开源,云原生,安全,软件,开发

近年来,人们非常重视软件供应链的安全。尤其令人担忧的是开源软件发行版中固有的风险越来越多。这引发了围绕云原生开源安全的大量开发,其形式包括软件物料清单 (SBOM)、旨在验证 OSS 包来源的项目等。

许多组织循环使用大型开源包,但只使用其中的一小部分功能,从而打开了不必要的攻击面。OSS 仍然容易出现拼写错误和新的零日漏洞。更不用说像 Log4j 这样的漏洞在很大比例的部署中仍然没有修补。

2023 年末,我们思考云原生开源安全的现状。收集了想法以及其他一些报告和专家观点,以描绘云原生供应链安全的现状以及在不久的将来的预期。

云原生OSS安全的最新进展

2023 年,我们看到云原生领域在安全方面取得了许多重大发展,特别是在保护供应链的标准方面。例如,根据 Sonatype 的第九届年度软件供应链状况, SBOM 使用的成熟度正在不断提高,53% 的接受调查的工程专业人士表示,他们正在为每个应用程序生成 SBOM 。

围绕Sigstore 签署软件工件以验证信任证明和来源的运动。SBOM 解决供应链中关键问题的趋势,SBOM 质量还有改进的空间。像 OpenVex 这样的新框架最终可以帮助使 SBOM 格式更加准确。

今年的进展更多地体现在‘第一步’阶段,即制定一些措施来解决签名和 SBOM,下一步我们会看到这些工具提供更高质量的安全输出。

最严重的 OSS 漏洞

在上述研究中,Sonatype 报告发现 245,000 个组件下载存在已知漏洞。令人印象深刻的是,其中 96% 都有可用的固定版本。他们还跟踪发现,四分之一的 Log4j 下载都是存在臭名昭著且高度可利用的 Log4Shell 漏洞的易受攻击版本。

域名仿冒仍然是向 OSS 软件组件插入恶意代码的主要方法,攻击者可以利用这些代码窃取密钥或在系统中创建后门。然而, 下一个趋势可能是不良行为者寻找方法向实际开源项目贡献恶意代码。明天复杂的攻击策略可能看起来像是无意的事故,比如为了“修复代码中的错误”而提交的代码实际上可能会导致漏洞利用。

鼓励 IT 领导者放眼全局。作为一个行业,我们需要开始关注如何更全面、更有效地解决漏洞问题。这涉及深入了解您的软件依赖性和风险管理基础设施以实现快速补丁。

生成式人工智能使云原生安全变得复杂

在过去的一年里,生成式人工智能在激烈的浪潮中崭露头角,带来了许多新的网络安全影响。数据科学工作流程处于早期发展阶段,容易出现安全缺陷。业界需要迅速认识到这是一个问题,并且需要采取制衡措施来验证人工智能/机器学习模型的可信度。

生成式人工智能有利于自动化云原生 DevOps、代码审查和特定的防御策略。然而,我们需要更好地了解这些模型所训练的数据以及这些模型的监管链,以避免人工智能数据模型中毒或篡改。

值得庆幸的是,我们看到了围绕 AI/ML 提高可见性和制定安全标准的势头。例如,领先的 SBOM 标准 CycloneDX 最近将描述机器学习模型的方法纳入其规范。新的 OWASP LLM 安全 Top 10 可以作为解决一些与 LLM 相关的关键威胁的指南。

缓解云原生供应链威胁的方法

使用 SBOM。SBOM 可以让您了解正在运行的软件以及在何处运行,这可以在您需要修补漏洞、了解许可风险或一般软件生命周期终止政策时提供帮助。

从第一天起就确保整个软件供应链的安全是一项挑战。因此,鼓励 IT 领导者从容易实现的目标开始,实施更具安全意识的实践,例如选择更安全的基础映像、用更成熟的组件替换不安全的 OSS 组件,以及在 CVE 出现时采用自动化方法将其删除。

缓解云原生供应链威胁的另一种方法是主动减少不必要或传递性依赖(可能存在漏洞)。建议使用最少的容器映像来减少总体表面积。由于您的软件中没有任何不必要的工具或组件,攻击者无法利用它为您的环境带来更多安全风险。

可观察性对于提供开发流程的全面监控和分析也至关重要,有助于识别异常情况和潜在的安全漏洞。重要的是,它有助于增强整个供应链的可见性,从源代码存储库到部署环境。这种透明度使团队能够跟踪代码流和依赖项,以识别任何意外的更改或未经授权的访问点。

最终目标:设计安全的软件

《2023 年软件供应链安全报告中的 CISO 和开发人员趋势》发现,不到一半的 CISO 认为他们的开发人员非常熟悉其开发工具和工作流程的安全风险。该报告还显示,大量组织报告了漏洞扫描误报疲劳。

鉴于这些发现,我们需要团队之间更多的认识和协作以及更准确和可操作的扫描。优先考虑快速更新和修补有助于消除这种疲劳。

到 2024 年,我们将看到更多‘第一步’进展,以实现整个行业更好的软件供应链安全实践。展望未来,预计人们将通过 SLSA 来源和更值得信赖的证明等策略,迈向更先进的状态,以确保供应链安全。

将责任推卸给拥有开源安全性的人已不再是一种选择,每个人都应该认真对待这一问题,并开始逐步减少今天可以做的事情,以达到拥有设计安全的软件的稳定状态。文章来源地址https://www.toymoban.com/news/detail-797268.html

到了这里,关于开源云原生安全的现状的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 欧科云链研究院:如何降低Web3风险,提升虚拟资产创新的安全合规

    在香港Web3.0行业,技术推动了虚拟资产投资市场的快速增长,但另一方面,JPEX诈骗案等行业风险事件也接连发生,为Web3行业发展提供了重要警示。在近期的香港立法会施政报告答问会上,行政长官李家超表示,与诈骗受害人同一阵线,将对任何罪犯穷追猛打。同时李家超也

    2024年02月05日
    浏览(46)
  • Humanoid-Gym 开源人形机器人端到端强化学习训练框架!星动纪元联合清华大学、上海期智研究院发布!

      Humanoid-Gym: Reinforcement Learning for Humanoid Robot with Zero-Shot Sim2Real Transfer GitHub Repository: GitHub - roboterax/humanoid-gym: Humanoid-Gym: Reinforcement Learning for Humanoid Robot with Zero-Shot Sim2Real Transfer   Humanoid-Gym是一个基于Nvidia Isaac Gym的易于使用的强化学习(RL)框架,旨在训练仿人机器人的运动

    2024年04月12日
    浏览(59)
  • 寻访 | 北京量子信息研究院

    前言:为了普及科学技术知识、传播科学思想,光子盒特开启「寻访」专栏,带领各位读者探访全球的量子工厂和实验室。 2023年5月30日下午,为期6天的“2023中关村论坛主会期”落下帷幕。 量子计算、区块链、脑机接口、新能源材料——围绕众多前沿科技热点,2023中关村论

    2024年02月08日
    浏览(79)
  • 【北京】亚洲微软研究院-微软游记

    交流会 办公区 晚餐 结束 微软游记 11月24日,身为一名初出茅庐得技术博主,有幸来到微软亚洲研究院,与CSDN一些博主们共同学习!通过这一天对微软的认识,让我有了更多的想法。今天我看到了微软在物流运输、医疗、混合现实等领域的精彩! 黑科技 我看了如何微软在运

    2024年04月23日
    浏览(44)
  • 中国电信研究院发布《5G+数字孪生赋能城市数字化应用研究报告》

    nbsp; nbsp; nbsp; nbsp;9月5日,中国电信研究院战略发展研究所联合中关村智慧城市产业技术创新战略联盟在2023年中国国际服务贸易交易会数字孪生专题论坛正式对外发布《5G+数字孪生赋能城市数字化应用研究报告》。nbsp; nbsp; nbsp; nbsp; nbsp;会上,中国电信研究院战略发展研究所副

    2024年02月09日
    浏览(71)
  • ThePASS研究院|以Safe为例,解码DAO国库管理

    本研究文章由ThePASS团队呈现。ThePASS是一家开创性的DAO聚合器和搜索引擎,在为DAO提供洞察力和分析方面发挥着关键作用。 随着去中心化自治组织(DAOs)的发展,它们被赋予了越来越多的角色和期望。在这种巨幅增长的背景下,资产管理成为一个至关重要的问题。随着DAO不断

    2024年02月10日
    浏览(44)
  • 双非生物医学硕士放弃研究院工作,零基础转型大数据开发

    点击上方 \\\" 大数据肌肉猿 \\\"关注, 星标一起成长 点击下方链接,进入高质量学习交流群 今日更新| 1052个转型案例分享-大数据交流群 分享学习群一位同学的大数据求职转型经验,他本科是二本机械方向,研究生是一本生物医学方向,原本考研就是为了转到计算机方向,因为分

    2023年04月08日
    浏览(45)
  • 微软亚洲研究院推出AI编译器界“工业重金属四部曲”

    编者按:编译器在传统计算科学中一直是一个重要的研究课题。在人工智能技术快速发展和广泛应用的今天,人工智能模型需要部署在多样化的计算机硬件架构上。同时,训练和部署大型人工智能模型时又对硬件性能有着更高的要求,有时还需根据硬件定制化代码。这些都对

    2024年02月16日
    浏览(47)
  • HTX研究院:坎昆升级完成,LRT(Liquid Restaking)赛道催化以太坊生态?

    随着坎昆升级的完成,以太坊及其相关生态代币价格在近期表现亮眼。同时,模块化概念项目和以太坊Layer2项目陆续推出主网,进一步推动了当前市场对以太坊生态的看好。流动性再质押(Liquid Restaking)叙事也因EigenLayer项目的爆火而开始吸引资本的关注。 但,从ETH - LST -

    2024年03月23日
    浏览(52)
  • 微软亚洲研究院多模态模型NÜWA:以自然语言创造视觉内容

    此前我们曾提出了一个问题:从文字脚本生成创意视频一共分几步?微软亚洲研究院的开放领域视频生成预训练模型给出了答案:只需一步。现在,我们追问:除了文字生成视频之外,还有哪些途径可以生成视频?我们能否使用自然语言对视觉内容进行编辑?微软亚洲研究院

    2024年02月04日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包