JFrog：AI时代，企业软件供应链安全迎来大考

软件安全领域变幻莫测，全球的 DevSecOps 团队都在探索前行，在AI 迅速普及的时代，更需要创新来满足需求。

近日，流式软件公司、 JFrog 软件供应链平台的缔造者JFrog结合了超过7000家企业的JFrog Artifactory开发者使用数据、JFrog安全研究团队原创的CVE分析、以及委托第三方对全球1200名技术专业人士进行的调查数据，发布了其《2024年全球软件供应链发展报告》的调查结果，指出了新兴的发展趋势、行业风险以及保障企业软件供应链安全的最佳实践案例。

该报告围绕软件供应链管理为主题，从软件供应链的构成、软件供应链隐藏风险、企业内部如何面对已知的安全风险以及AI四个方面展开。

“随着AI发展的崛起，AI大模型不光是做内容的生成，后端也有一系列的供应链进行支撑，包括模型、数据集、Python脚本，在容器环境里运行。同时，行业里正在使用多种开发语言，不再是C和 C++一种语言就能搞定的模式了，容器化已经成为主流。”JFrog中国技术总监王青日前在接受笔者的采访时表示，在很多语言包使用情况下，开发者的密钥漏洞爆发时，对开发者的应用会产生哪些影响，前端和后端漏洞影响范围的区别，以及企业对于AI的接受程度如何，这些都会增加软件供应链隐藏的风险。

王青

Catalog作为专门为外网代理管控的工具，大部分的外网请求可以看到Docker Hub还有NPM，这两个组件是对外请求最多的类型，软件包的增长速度也非常高。

数据显示：92%的专业人士认为，企业至少有一个解决方案监测恶意的开源包；89%的受访者表示，他们已经采用了OpenSSF SLSA的框架，这个框架是谷歌主导的，由开源软件安全基金会（Open Source Security Foundation）推广的一个软件供应链安全的标准，国内，目前也有一些企业在逐渐落地这个安全标准，来管理软件供应链安全；在开发人员里，42%的人表示最好在代码编写期间执行安全扫描，相对比例并不是非常高，因此安全左移还有很大的发展空间。

值得注意的是，相当于1/4（25%）的安全团队将大量的时间花在漏洞修复上，即使这些漏洞可能被高估或者不太适用。

“互联网的漏洞非常多，每个漏洞只要是严重级别的，可能就被要求修复，但是安全团队可能不在意这个漏洞对你应用是不是真的有影响，也要花时间去修复。”王青认为，很多开发人员将时间花在修复一些不必要修复的漏洞，这是业界最大的痛点之一，“在一个月之内花4天的时间进行漏洞修复，这并非一个提高商业价值的任务活动。”

此外，在报告中安全实践部分，59%的企业是在构建时进行安全扫描，编码时进行安全扫描的企业占比同样为59%。

最常用的应用程序安全解决方案部分，静态应用程序安全测试是最多的，占到61%。动态应用程序安全测试，由于耗时比较长，有58%的公司进行这一安全测试；同时，软件构成分析的测试占比58%，得益于扫描快速，这个数字提升潜力巨大，包括JFrog本身就能做软件构成分析的扫描；56%的企业实现了API安全扫描。

在互联网上、Docker Hub上，JFrog调研了212个CVE样本。JFrog安全团队将85%的“严重”CVE和73%的“高危”CVE下调了评级。这意味着研发团队能够避免付出额外精力关注漏洞分数虚高的漏洞。

“JFrog能够对漏洞进行上下文的风险分析，它能根据你的CVE，对你的应用产生调研，判断是不是漏洞被调用，从而能确认这个漏洞的评级可以下降，这可以认为是个‘黑科技’。” 王青表示，有了这样的技术，可以将大部分漏洞不合理的评分进行下降，这意味着可以为开发者省下更多宝贵的开发时间，进行提升商业价值的任务活动。

与此同时，JFrog在Docker Hub里分析了最受欢迎的100个镜像，比如Tomcat、 Ubuntu、GDK这样的下载量最高的镜像，里面有很多CVSS评分的漏洞。在这些CVE漏洞中，JFrog的研究团队发现了一个重大的数据，74%的漏洞实际是不可被利用的。这74%经过JFrog扫描之后，显示这些漏洞可以被忽略，从而让研发从这些修复漏洞的工作中解放出来。

在大模型和AI领域的调研数据显示，90%的受访者表示他们的扫描工具支持AI；90%的受访者在某种程度上支持AI的工具来协助安全扫描或修复；有32%的企业受访者表示大部分人可以使用Copilot等AI工具协助代码生成，但是因为ChatGPT产生的代码可能存在漏洞，超过半数的人认为这一行为有风险。90%的受访者在某种程度上支持AI的工具来协助安全扫描或修复。这反映出业内大多数人对AI生成的代码可能会为企业软件带来的潜在安全隐患仍持审慎态度。

从区域市场需求来看，在印度，有65%的受访者表示，他们在使用十个或者更多的安全解决方案。中国、法国、德国、以色列、英国市场，半数左右的受访者使用六种或者更少的应用程序安全解决方案，也就意味着这些地区和国家希望用尽量统一的平台来进行安全扫描，而不需要买太多的安全扫描工具。

不过，每个安全扫描工具不光是采购的费用，还有运维人员的费用、维护费用以及管理费用，人力成本是很大一笔支出。

JFrog提供的方案，顺应了很多企业的需求，即如何用统一的平台去管理。作为JFrog的一大产品特点，Xray和制品库是进行统一绑定的，当客户用了JFrog的制品库，就会自动获得安全扫描的能力。而且客户不需要额外购买Xray，因为它是附带在制品库上。所以当建设好制品库之后，研发团队自动就获得了安全扫描能力，这给客户减少了工具安全扫描维护和采购的成本。

更重要的是，JFrog的产品不限制用户数，且它的费用是一样的。通过这样的方式，JFrog是切实地能够帮助企业在安全扫描、制品管理、供应链管理上提供统一的解决方案，并且是性价比非常高的一个方案。

除此之外，JFrog与Docker公司联合进行了调研，发现了Docker Hub的恶意无镜像存储库的数据发布，Docker Hub是一个专门用于管理Docker镜像的互联网仓库，它是目前世界上最主流、最大的Docker镜像管理仓库。

董任远

“JFrog在Docker Hub仓库里发现了460万个没有容器数据的Docker Hub 存储库。当镜像存储库里没有镜像，那这个存储库就毫无意义。”王青透露，深入检查后发现，这些被上传的无镜像存储库，绝大多数都是带着恶意目的——它们的概述页面试图欺骗用户访问钓鱼网站或托管着危险恶意软件的网站。比如，存储库在描述中包含了几个链接，引导用户访问钓鱼网站，随后却窃取信用卡信息。

值得一提的是，JFrog把这些信息同时披露给了Docker公司，Docker基本上100%把这些恶意的仓库全部进行了清理。从一个侧面来说，JFrog也推动了互联网镜像下载的安全，保护了企业在下载时免遭恶意镜像带来的损失。

写在最后

当前，JFrog的产品是端到端的支持全语言的开发运维平台，在全球服务了大概7400家客户，其中在东亚区的中国及日本，服务了超过500家客户，主要分布在金融、制造和互联网头部品牌，超过83%的财富100强企业应用JFrog的软件。

“过去几年，我们的业务持续保持增长，全球实现了25%的增长，中国地区也成为了亚太区增长最快的区域。”JFrog大中华和日本地区总经理董任远表示，中国市场越来越多的基础架构类产品都已经支持了国产化，其中包括了芯片、服务器、数据库以及中间件。

对于JFrog来说，在中国的战略就是以更合适的解决方案适配这些产品：一方面，JFrog已经完成了在中国的全线产品针对于国产信创产品的适配，很多客户现在已经直接将JFrog应用到其信创环境当中；另一方面，针对中国市场的特有的行业发展，JFrog提供了一些产品的优化以及定制化的支持。比如JFrog针对汽车行业提出了一些新的解决方案，尤其是在制品库以及在安全领域上，为了更好地满足中国企业的高速发展以及企业出海的需求，JFrog都提供定制化的支持。