开源云原生安全的现状

近年来,人们非常重视软件供应链的安全。尤其令人担忧的是开源软件发行版中固有的风险越来越多。这引发了围绕云原生开源安全的大量开发,其形式包括软件物料清单 (SBOM)、旨在验证 OSS 包来源的项目等。

许多组织循环使用大型开源包,但只使用其中的一小部分功能,从而打开了不必要的攻击面。OSS 仍然容易出现拼写错误和新的零日漏洞。更不用说像 Log4j 这样的漏洞在很大比例的部署中仍然没有修补。

2023 年末,我们思考云原生开源安全的现状。收集了想法以及其他一些报告和专家观点,以描绘云原生供应链安全的现状以及在不久的将来的预期。

云原生OSS安全的最新进展

2023 年,我们看到云原生领域在安全方面取得了许多重大发展,特别是在保护供应链的标准方面。例如,根据 Sonatype 的第九届年度软件供应链状况, SBOM 使用的成熟度正在不断提高,53% 的接受调查的工程专业人士表示,他们正在为每个应用程序生成 SBOM 。

围绕Sigstore 签署软件工件以验证信任证明和来源的运动。SBOM 解决供应链中关键问题的趋势,SBOM 质量还有改进的空间。像 OpenVex 这样的新框架最终可以帮助使 SBOM 格式更加准确。

今年的进展更多地体现在‘第一步’阶段,即制定一些措施来解决签名和 SBOM,下一步我们会看到这些工具提供更高质量的安全输出。

最严重的 OSS 漏洞

在上述研究中,Sonatype 报告发现 245,000 个组件下载存在已知漏洞。令人印象深刻的是,其中 96% 都有可用的固定版本。他们还跟踪发现,四分之一的 Log4j 下载都是存在臭名昭著且高度可利用的 Log4Shell 漏洞的易受攻击版本。

域名仿冒仍然是向 OSS 软件组件插入恶意代码的主要方法,攻击者可以利用这些代码窃取密钥或在系统中创建后门。然而, 下一个趋势可能是不良行为者寻找方法向实际开源项目贡献恶意代码。明天复杂的攻击策略可能看起来像是无意的事故,比如为了“修复代码中的错误”而提交的代码实际上可能会导致漏洞利用。

鼓励 IT 领导者放眼全局。作为一个行业,我们需要开始关注如何更全面、更有效地解决漏洞问题。这涉及深入了解您的软件依赖性和风险管理基础设施以实现快速补丁。

生成式人工智能使云原生安全变得复杂

在过去的一年里,生成式人工智能在激烈的浪潮中崭露头角,带来了许多新的网络安全影响。数据科学工作流程处于早期发展阶段,容易出现安全缺陷。业界需要迅速认识到这是一个问题,并且需要采取制衡措施来验证人工智能/机器学习模型的可信度。

生成式人工智能有利于自动化云原生 DevOps、代码审查和特定的防御策略。然而,我们需要更好地了解这些模型所训练的数据以及这些模型的监管链,以避免人工智能数据模型中毒或篡改。

值得庆幸的是,我们看到了围绕 AI/ML 提高可见性和制定安全标准的势头。例如,领先的 SBOM 标准 CycloneDX 最近将描述机器学习模型的方法纳入其规范。新的 OWASP LLM 安全 Top 10 可以作为解决一些与 LLM 相关的关键威胁的指南。

缓解云原生供应链威胁的方法

使用 SBOM。SBOM 可以让您了解正在运行的软件以及在何处运行,这可以在您需要修补漏洞、了解许可风险或一般软件生命周期终止政策时提供帮助。

从第一天起就确保整个软件供应链的安全是一项挑战。因此,鼓励 IT 领导者从容易实现的目标开始,实施更具安全意识的实践,例如选择更安全的基础映像、用更成熟的组件替换不安全的 OSS 组件,以及在 CVE 出现时采用自动化方法将其删除。

缓解云原生供应链威胁的另一种方法是主动减少不必要或传递性依赖(可能存在漏洞)。建议使用最少的容器映像来减少总体表面积。由于您的软件中没有任何不必要的工具或组件,攻击者无法利用它为您的环境带来更多安全风险。

可观察性对于提供开发流程的全面监控和分析也至关重要,有助于识别异常情况和潜在的安全漏洞。重要的是,它有助于增强整个供应链的可见性,从源代码存储库到部署环境。这种透明度使团队能够跟踪代码流和依赖项,以识别任何意外的更改或未经授权的访问点。

最终目标:设计安全的软件

《2023 年软件供应链安全报告中的 CISO 和开发人员趋势》发现,不到一半的 CISO 认为他们的开发人员非常熟悉其开发工具和工作流程的安全风险。该报告还显示,大量组织报告了漏洞扫描误报疲劳。

鉴于这些发现,我们需要团队之间更多的认识和协作以及更准确和可操作的扫描。优先考虑快速更新和修补有助于消除这种疲劳。

到 2024 年,我们将看到更多‘第一步’进展,以实现整个行业更好的软件供应链安全实践。展望未来,预计人们将通过 SLSA 来源和更值得信赖的证明等策略,迈向更先进的状态,以确保供应链安全。

将责任推卸给拥有开源安全性的人已不再是一种选择,每个人都应该认真对待这一问题,并开始逐步减少今天可以做的事情,以达到拥有设计安全的软件的稳定状态。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/620430.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

openGauss学习笔记-196 openGauss 数据库运维-常见故障定位案例-强制结束指定的问题会话

文章目录 openGauss学习笔记-196 openGauss 数据库运维-常见故障定位案例-强制结束指定的问题会话196.1 强制结束指定的问题会话196.1.1 问题现象196.1.2 处理办法 openGauss学习笔记-196 openGauss 数据库运维-常见故障定位案例-强制结束指定的问题会话 196.1 强制结束指定的…

HTML--表单

睡不着就看书之------------------------ 表单 作用:嗯~~动态页面需要借助表单实现 表单标签: 主要分五种: form,input,textarea,select,option 从外观来看,表单就包含以下几种&…

SFP/SFP+/QSFP/QSFP+光模块和GTP/GTX/GTH/GTZ/GTY/GTM高速收发器

SFP/SFP/QSFP/QSFP光模块和GTP/GTX/GTH/GTZ/GTY/GTM高速收发器 SFP/SFP/QSFP/QSFP光模块概述SFPSFPQSFPQSFP关键参数说明 GTP/GTX/GTH/GTZ/GTY/GTM高速收发器区别XILINX 7系列FPGA中高速收发器使用 SFP/SFP/QSFP/QSFP光模块 概述 SFP( small form-factor pluggabl…

第 3 场 小白入门赛(1~6) + 第 3 场 强者挑战赛 (1 ~ 5)

第 3 场 小白入门赛 1、厉不厉害你坤哥(暴力) 2、思维 3、暴力,前缀和,贪心 4、二分 5、DP 6、容斥,双指针 第 3 场 强者挑战赛 2、BFS 5、树上倍增求第k祖先 1. 召唤神坤 题意: 可以发现,如果我…

【非监督学习 02】高斯混合模型

高斯混合模型(Guassian Mixed Model, GMM)也是一种常见的聚类算法,与K均值算法类似,同样使用了EM算法进行迭代计算。高斯混合模型假设每个簇的数据都是符合高斯分布的,当前数据呈现的分布就是各个簇的高斯分布叠加在一…

仿真验证方法(2)——静态验证

一、静态验证 1.1 概述 在之前的文章中,我们介绍了动态仿真,但是动态仿真用于百万门以上电路时所需时间极长,而且其功能覆盖率取决于所设计的输入激励向量,很难达到100%,因此静态时序分析和等效性检查这样的静态验证是…

强化学习应用(七):基于Q-learning算法的无人车配送路径规划(通过Python代码)

一、Q-learning算法介绍 Q-learning是一种强化学习算法,用于解决基于环境的决策问题。它通过学习一个Q-table来指导智能体在不同状态下采取最优动作。下面是Q-learning算法的基本步骤: 1. 定义环境:确定问题的状态和动作空间,并…

python图像处理总结

等我有时间了,好好总结一下这几个图像处理包,为后面的研究做个铺垫 skimage包 可以用系统自带的图片,不用自己找图片 from skimage.io import imread, imshow from skimage import data image data.astronaut() imshow(image)后面可以拿这…

【MySQL】创建和管理表

文章目录 前置 标识符命名规则一、MySQL数据类型二、创建和管理数据库2.1 创建数据库2.2 使用数据库2.3 修改数据库2.4 删除数据库 三、创建表3.1 创建方式一3.2 创建方式二3.3 查看数据表结构 四、修改表4.1 增加一个列4.2 修改一个列4.3 重命名一个列4.4 删除一个列 五、重命…

简单明了,汽车级LM317系列LM317D2TR4G线性电压稳压器电源设计-参数应用方案分享

低压差线性稳压器(LDO),是指一种具有恒定电流输出电压的装置,主要由输入变压器、整流器、输出变压器三部分构成,工业原理为将输入的交流电压经过整流、滤波后得到直流输出电压,再经过控制元件和开关器件将稳…

132基于matlab的采集信号模极大值以及李氏指数计算

基于matlab的采集信号模极大值以及李氏指数计算, 1)计算信号的小波变换。 2)求出模极大曲线。 3)计算其中两个奇异点的Lipschitz指数,程序已调通,可直接运行。 132matlab模极大曲线Lipschitz (xiaohongshu.com)

MATLAB - 机器人关节空间运动模型

系列文章目录 前言 关节空间运动模型描述了在闭环关节空间位置控制下机械手的运动,在关节空间运动模型(jointSpaceMotionModel)对象和关节空间运动模型块中使用。 机器人机械手是典型的位置控制设备。要进行关节空间控制,需要指…

Flask 小程序菜品搜索

mina/pages/food/index.wxml <!--index.wxml--> <!--1px 750/320 2.34rpx;--> <view class"container"><!--轮播图--><view class"swiper-container"><swiper class"swiper_box" autoplay"{{autoplay}…

直播预告丨看零售场,如何玩转 MaaS

今年&#xff0c;有一个被频繁提及的词是MaaS 这类工具正在帮助千行百业实现大模型落地产业 在零售场&#xff0c;特别是像京东这样拥有超高并发、超复杂协同的电商场内 也沉淀出了一套通用的AI基础设施——九数算法中台 从提升客户服务体验、平台效率出发&#xff0c;训练各…

【Python】数据可视化--基于TMDB_5000_Movie数据集

一、数据准备 tmdb_5000_movie数据集下载 二、数据预处理 观察数据集合情况 import pandas as pd import ast import warnings warnings.filterwarnings(ignore) # 加载数据集 df pd.read_csv(tmdb_5000_movies.csv) # 查看数据集信息 print(df.info()) 由于原数据集包含的…

Jenkins集成Sonar Qube

下载插件 重启Jenkins 容器 sonarqube 使用令牌 Jenkins 配置 重新构建

小程序基础学习(多插槽)

先创建插槽 定义多插槽的每一个插槽的属性 在js文件中启用多插槽 在页面使用多插槽 组件代码 <!--components/my-slots/my-slots.wxml--><view class"container"><view class"left"> <slot name"left" ></slot>&…

YOLOv8改进 | 注意力篇 | 实现级联群体注意力机制CGAttention (全网首发)

一、本文介绍 本文给大家带来的改进机制是实现级联群体注意力机制CascadedGroupAttention,其主要思想为增强输入到注意力头的特征的多样性。与以前的自注意力不同,它为每个头提供不同的输入分割,并跨头级联输出特征。这种方法不仅减少了多头注意力中的计算冗余,而且通过增…

八爪鱼拉拉手

欢迎来到程序小院 八爪鱼拉拉手 玩法&#xff1a;点击鼠标左键拖动移动八爪鱼&#xff0c;当他的手很忙的时候他会很高兴&#xff0c; 不同关卡不同的八爪鱼的位置摆放&#xff0c;快去闯关吧^^。开始游戏https://www.ormcc.com/play/gameStart/248 html <div id"gam…

GCC工具源码编译

文章目录 背景一、下载源码二、编译前依赖准备2.1 相关工具依赖2.2 相关lib&#xff08;gmp/ mpfr /mpc&#xff09;依赖2.2.1 lib源码下载2.2.2 lib源码编译 三、编译GCC3.1 编译3.2 链接 四、报错处理 背景 日常可能涉及到系统里自带GCC版本与被编译源码存在不兼容&#xff…