开源软件供应链:从技术到商业的安全风险演变
网络安全团队还可以监控攻击或行动指标 (IOA),例如异常的系统行为或新的连接。识别此类行为异常是人工智能的理想应用场景,因为机器学习擅长模式识别和异常行为检测。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
从开源库到人工智能驱动的编码助手,以速度为导向的开发正在引入新的第三方风险,而威胁行为者正日益利用这些风险。
硅谷“快速行动,打破常规”的信条将增长置于一切之上。不幸的是,这种速度也导致软件供应链漏洞的快速引入。从开源软件库到人工智能编码助手,这些工具虽然能够实现快速创新,但也为网络犯罪分子提供了可乘之机。
第三方风险一直存在,但并非始终备受关注。过去十年,勒索软件占据了新闻头条,也牵动着网络安全领导者的心。近年来,国家级威胁和日益增长的网络战风险逐渐凸显。然而,无论其动机或运作方式如何,软件供应链中的漏洞都是网络攻击的理想目标。
SolarWinds 的数据泄露事件敲响了警钟,提醒人们注意第三方风险的危险性。即使你的防御措施再严密,如果上游服务提供商拥有通往企业内部的安全通道,一切也无济于事。Log4J 的Log4Shell漏洞则揭示了第三方风险如何在开源软件库中滋生,而这些开源软件库已被广泛采用并集成到企业服务中。漏洞一旦被披露,攻击者便立即展开扫描。
最近,网络攻击者将目光转向了人工智能编码助手及其产生的虚假响应,例如,他们会错误地识别出一个并不存在的软件库。当攻击者识别出一个虚假的软件库时,他们会注册一个同名的恶意二进制文件。开发者会在不知情的情况下将这些恶意软件集成到他们的代码中。网络安全研究人员将这种攻击称为“恶意域名抢注”(slopsquatting)。
因此,DevOps和网络安全都需要更加积极主动地识别和应对这些风险。DevOps将此称为“左移”,网络安全称之为“防暴预警”。可见性是这种方法的基础。
第三方风险的遗留问题
第三方风险并非新鲜事。供应链攻击的案例至少可以追溯到二十年前。例如,2003年就有人试图在Linux内核中植入后门,此事臭名昭著。然而,直到2020年SolarWinds数据泄露事件发生后,各组织才开始真正重视第三方风险。
SolarWinds的数据泄露事件是一起由俄罗斯高级持续性威胁 (APT) 组织实施的精心策划的供应链攻击。受感染的软件更新向18,000 名客户推送了恶意后门,使攻击者能够访问包括数十个美国联邦机构在内的高价值目标。
一年后,Log4J的一个漏洞Log4Shell引发了一场重大的供应链安全危机。Log4J是Java 生态系统中一个流行的开源日志库,被嵌入到数亿个应用程序和设备中。在运营技术 (OT) 环境中,此类漏洞的问题尤为严重,因为这些环境包含关键业务资产和难以甚至无法修复的遗留技术。
许多组织利用开源软件库来加速创新并降低成本,但对于Log4J而言,这种便利却以软件暴露在风险之中为代价。在Log4Shell漏洞披露后的几周内,各组织争相查找哪些供应商在其解决方案中集成了Log4J,而供应商则不得不向客户保证一切都在掌控之中,并推出补救计划。
请不要破坏我的好心情。
“Vibe编码”已成为生成式人工智能领域一款引人注目的“杀手级应用”。据GitHub统计,过去一年中,97%的开发者都使用过人工智能工具。然而,过度依赖人工智能生成的代码会给代码库带来安全漏洞。
学术研究人员发现,在16种领先的代码生成工具中,19%的推荐软件包并不存在,43%的虚构软件包每次都重复出现。
恶意攻击者正主动发现这些虚构的软件包,并抢先注册同名恶意代码。Python软件基金会的一位开发者将这种攻击称为“slopsquatting”(拼写错误抢注),因为它与网络域名抢注或拼写错误抢注非常相似。
例如,恶意软件“ccxt-mexc-futures”在公共软件仓库PyPl上被注册并下载超过1000次。该恶意软件修改了用于加密货币交易的关键操作;然而,鉴于Shai-Hulud蠕虫最近在PyPl上成功传播,抢注域名很可能成为未来发起高调蠕虫攻击的一种途径。
在企业之外,在攻击发生之前
这些第三方风险案例之间存在诸多差异。SolarWinds数据泄露事件是一起针对性极强的供应链攻击,凸显了供应链完整性问题。Log4J漏洞在当时被认为是迄今为止披露的最广泛漏洞,这也凸显了供应链可观测性的必要性。而域名抢注攻击的出现则要求对人工智能辅助编码进行更严格的监管。
这里的一个共同主题是需要提高透明度。供应链中软件依赖关系的复杂性使得漏洞和风险的监控变得困难。DevOps 需要“左移”,在风险方面更加积极主动和透明,以便网络安全团队能够在风险被利用之前(即防患于未然)识别并修复这些风险。
组织可以通过软件物料清单 (SBOM) 来审核软件的来源,从而跟踪每个依赖项的出处和版本。静态应用程序安全测试 (SAST) 和动态应用程序安全测试 (DAST) 可以识别可能被攻击者利用的漏洞。同样,可见性是这种方法的关键。组织需要首先建立全面的资产清单,以便评估特定应用程序对业务的影响。
网络安全团队还可以监控攻击或行动指标 (IOA),例如异常的系统行为或新的连接。识别此类行为异常是人工智能的理想应用场景,因为机器学习擅长模式识别和异常行为检测。
对于人工智能编码助手,开发者需要意识到其存在的风险,例如账户身份验证和输入验证方面的缺陷。开发者应在提示信息中嵌入安全措施,例如多因素身份验证 (MFA) 锁定和输入清理。此外,如今比以往任何时候都更加重要的是,必须进行人工审核和应用程序安全测试。
相关攻略
3月31日消息,据媒体报道,上周,OpenAI宣布关停旗下AI视频生成工具Sora。Sora距离面向公众上线仅过去半年,这一决定也立刻引发外界诸多猜测。不过,背后真实原因其实相当平淡:Sora是个烧
AI时代的 "门户之见 "正在消融。当地时间3月30日,微软宣布为Microsoft 365 Copilot推出 "多模协作 "深度研究功能,允许OpenAI GPT与Anthropic Claude在同一
OpenAI此刻正在艰难变现。Sam Altman曾将广告称为最后手段,但ChatGPT如今已开始插入广告;曾被寄予厚望的购物功能宣告失败,Sora视频产品也被关停。故事讲不下去了。 过去24小时,
3月最后一周,全球两大“明星”AI接连响起警钟。3月29日深夜,DeepSeek突发大规模服务中断,网页端与App同时瘫痪,频繁显示“服务器繁忙”,故障持续超过11个小时,创下成立以来单次故障最长纪
21世纪经济报道记者雷晨 北京报道“技术领先只是入场券,真正的终局在于能否用AI重构生产关系。”3月27日,在2026中关村论坛年会昆仑万维专场发布会后,昆仑万维创始人、天工AI董事长兼CEO周亚辉
热门专题
热门推荐
消息称苹果已放弃翻盖小折叠 iPhone Flip 机型方案 最近科技圈有个传闻值得聊聊。据博主@刹那数码爆料,苹果内部已经放弃了翻盖式小折叠屏手机,也就是常说的iPhone Flip方案。原因挺现实的:内部评估后,大部分人觉得这东西有点“没必要”。 为什么说没必要?核心在于它似乎没能创造出什么“非
能源网络代币(EWT)近期飙升解析:趋势逆转还是技术反弹? 能源网络代币(Energy Web Token)在经历一轮显著的价格跃升后,重新回到了市场的聚光灯下。这让不少投资者感到好奇:究竟是什么在推动EWT当前的上涨行情? 从短期动能、放大的交易量到技术层面的突破信号,这场反弹似乎暗示着某种趋势上
2026年全球具身智能TOP10榜单深度解析:从技术路径到商业落地,谁在领跑? 最近,2026年全球具身智能的TOP10榜单正式出炉,给这个火热的赛道做了一次阶段性的“排位赛”。榜单里有个名字格外醒目——智平方,凭借全栈自研的VLA大模型、近5亿元的工业订单,以及半年内完成7轮融资的强劲势头,稳稳坐
联发科发布多款IoT SoC芯片平台,加码嵌入式与边缘AI市场 近期在德国纽伦堡举办的Embedded World 2026嵌入式展会上,联发科技的动作不小,一口气推出了多款面向物联网(IoT)领域的SoC芯片平台。这一系列新成员,包括了定位高端的Genio Pro,以及面向主流和入门级市场的Gen
一、关卡概述 在《燕云十六声》里,“铜金空洞”算得上是一块难啃的硬骨头。整个环境复杂多变,敌人和机关环环相扣,要想全身而退,确实得花费一番心思。 二、前期准备 磨刀不误砍柴工,进洞之前,准备工作一定要做扎实。 1 装备提升 首要任务是检查自己的“硬件”。攻击、防御、生命值,这三项核心属性必须过硬。