在数字化转型升级浪潮下，企业对于软件应用的需求正变得越来越旺盛，由于“敏捷开发、快速迭代”的特征，对于软件应用的更新也越来越快。这也给整个软件供应链体系带来了安全风险，针对软件开发、测试、运维以及数据中心的任何一环，都有可能成为攻击的对象，进而对整个系统造成严重后果。根据JFrog发布的《2024年全球软件供应链发展报告》显示，40%的受访者表示，需要一周或更长时间才能获得使用新软件包/库的批准，这延长了新应用程序和软件更新的上市时间，影响了自身工作效率。

       日前，JFrog大中华和日本地区总经理董任远和JFrog中国技术总监王青对《2024年全球软件供应链发展报告》进行了解读，分享了软件安全领域的新兴趋势、行业风险以及保障企业软件供应链安全的实践案例。在董任远看来，企业需要根据自身需求适配动态多变的软件安全策略，而这正是JFrog的优势之所在。伴随AI等数字技术融入到软件开发中，JFrog将加快创新步伐，为用户“量身定制”软件安全解决方案，降低系统风险。

不可小觑的软件安全风险

       JFrog大中华区总经理董任远表示，软件安全领域的这场“攻防战”从来没有停息过。在过去几年，JFrog的业务实现了25%的高速增长，而以中国为代表的亚太区增长尤为突出。目前，JFrog已经服务全球约7,400家客户，面向东亚区的中国及日本约500家。其中有超过83%的财富100强企业应用了JFrog解决方案，以金融、制造和互联网行业为主。

       秉承“流式软件”的理念，JFrog软件供应链平台希望帮助企业快速安全地构建、管理和分发软件，确保软件可用、可追溯和防篡改。在本次发布的《2024年全球软件供应链发展报告》，JFrog结合了超过7,000家企业的JFrog Artifactory开发者使用数据、JFrog安全研究团队原创的CVE分析以及委托第三方对全球1200名技术专业人士进行的调查数据，为企业防御软件安全风险提供了参考和方向。

       针对开源领域，JFrog中国技术总监王青表示，随着开源软件的使用不断增加，针对开源软件的攻击也逐渐增多。JFrog中国技术总监王青介绍调查中显示92%的专业人员反馈他们的组织至少拥有一个解决方案来检测恶意开源包，89%的受访者反馈他们的组织已经采用了OpenSSF SLSA框架，这也反映出企业对于开源软件的安全风险意识正在提高。但在开发人员里，42%的人表示最好在代码编写期间执行安全扫描，相对比例并不高，反映出安全左移还有很大的发展空间。

调整部分CVE级别，让防护更有针对性

       值得注意的是，王青介绍传统的CVSS评级仅关注漏洞利用的严重性，而非其被利用的可能性，后者需要结合具体情境才能做出有效的评估。这也导致了有1/4（25%）的团队将大量的时间花在漏洞修复上，即使这些漏洞可能被高估或者不太适用。例如有些漏洞一旦属于“严重”级别，安全团队就要去响应修复，这也导致很多开发人员将时间花在一些不必要修复的漏洞上。

       这也是为什么在分析了212个高知名度CVE后，JFrog安全研究团队平均将85%的“严重”CVE和73%的“高危”CVE的重要性评级下调。王青表示这意味着可以为开发者省下更多宝贵的开发时间，转而进行提升商业价值的活动。

       在报告中安全实践部分，企业更倾向于在开发软件的编码和构建时进行安全扫描，这部分占到59%，而57%的企业选择在运行时进行安全扫描。调查显示，受访者认为常用的应用程序安全解决方案顺序依次是：静态应用程序安全测试（61%）、动态应用程序安全测试（58%）、软件构成分析测试（58%）、API安全（56%）。

对于AI/ML工具仍持审慎态度

       最后，面对滚滚而来的AI热潮，90%的受访者表示他们的扫描工具支持AI；同时90%的受访者在某种程度上支持AI的工具来协助安全扫描或修复；有32%的企业受访者表示大部分人可以使用Copilot等AI工具协助代码生成，但是因为ChatGPT产生的代码可能存在漏洞，超过半数的人认为这一行为有风险。王青举例这是因为如果黑客利用大模型的“幻觉”来植入恶意的包，上传到Docker Hub去训练GPT模型，并设定响应用户问题时，可以在用户毫不知情的情况下，引导到预设的仓库去下载恶意包，从而进行攻击。这也能够说明为什么法国和英国的受访者，最不愿意在软件开发过程中使用AI和ML。

       调查数据显示，在印度有65%的受访者表示，他们在使用十个或者更多的安全解决方案。而中国、法国、德国、以色列、英国市场则有半数左右的受访者使用六种或者更少的应用程序安全解决方案，也就意味着这些地区和国家希望用尽量统一的平台来进行安全扫描，而不需要太多分散的安全扫描工具。

深入与Docker合作，避免恶意存储库风险

       王青介绍JFrog还与Docker公司联合进行了调研，发现了Docker Hub恶意无镜像存储库的数据发布。目前，Docker公司官方已经把这些恶意的镜像存储库全都进行了关闭。

       Docker Hub是一个为开发者提供多样化功能的平台，它为Docker 镜像的开发、协作和分发开辟了许多可能性。作为全球开发者首选的头号容器平台，Docker Hub托管了超过1500万个存储库。

       然而，这些公共存储库的内容却出现了一个重大问题。JFrog研究显示，这些公共存储库中有近 20%（近300万个存储库）托管过恶意内容，包括通过自动生成的账户上传的用于推广盗版内容的垃圾邮件，以及恶意软件和钓鱼网站等极度恶意的实体。例如存储库在描述中包含了几个链接，引导用户访问一个钓鱼网站。该网站欺骗毫无戒心的访问者，承诺为他们购买处方药，但随后却窃取他们的信用卡信息。这也是为什么王青强调，当大家在使用Docker镜像时，一定要提防存储库遭到黑客滥用的风险，需要通过例如JFrog的Curation和Xray进行扫描，保证镜像安全性和合规性。