隨著數字化和智能化轉型的不斷深入，企業面臨的安全風險也日益增加，其中軟件安全尤為重要。隨著軟件供應鏈的日益復雜和全球化，特別是在人工智能迅速普及的時代，全球的 DevSecOps 團隊正在積極探索創新解決方案。然而，企業軟件供應鏈背后隱藏的風險也愈發凸顯。如何及時識別這些潛在風險，并采取有效措施加以應對，以確保企業軟件的安全性、可靠性和可追溯性，成為當前亟待解決的重要問題。

近期，JFrog發布了最新的《2024年全球軟件供應鏈發展報告》，該報告匯集了JFrog平臺上數百萬用戶的使用數據、JFrog安全研究團隊的CVE分析，以及對1200名安全、開發和運維人員進行的第三方調查數據。這份報告不僅提供了對企業軟件供應鏈安全的全面分析，揭示了關鍵的安全風險因素，還分享了一系列保障企業軟件供應鏈安全的最佳實踐案例。這些實踐案例有助于鞏固企業的安全態勢，確保其在競爭激烈的市場中保持持續增長的競爭優勢。

JFrog助力企業提升軟件供應鏈安全管理水平

JFrog中國技術總監王青表示，軟件供應鏈概念誕生于一個知名的攻擊事件，美國電信管理局為此建立了SBOM標準規范，為軟件供應鏈清單/軟件物料清單提供了框架，幫助企業內部對軟件供應鏈進行有效管理。SBOM是包含軟件應用中使用的所有組件、庫和其他依賴項的列表。國際通用的SBOM標準格式包括SPDX、CDX和SWID，前兩者由于記錄著更詳細的依賴信息而得到了更廣泛的使用。其中，SPDX是Linux基金會的一個開源項目，旨在作為收集和共享軟件數據的通用格式，是目前唯一一個獲此認可的SBOM標準格式。

軟件供應鏈自2011年開始進入人們的視野，至今已發展至相對成熟的階段。如今，企業普遍認識到管理軟件供應鏈的重要性，但各自采用不同的工具和方式進行管理。在這一階段，建立一些標準以衡量軟件供應鏈的成熟度顯得尤為重要。

在此背景下，開源軟件安全基金會(OpenSSF)提出了SLSA標準，定義了軟件供應鏈管理的四個級別，從引入、構建、發布到傳輸和交付環節均有明確要求，為企業提供了有效的管理框架。

這一標準的提出，有助于企業更好地了解和評估自身軟件供應鏈的安全性和成熟度水平，進而采取相應的措施加強安全防護。隨著企業對軟件供應鏈管理的日益重視，SLSA標準的推廣應用將成為未來趨勢，有望為企業軟件供應鏈安全帶來更加規范和有效的管理方式。

JFrog早已支持SPDX和SBOM的規范導出，能夠一鍵支持單文件和聚合文件的導出，從而快速生成軟件供應鏈。在JFrog的方案下，依賴包的來源從Artifactory來，有效保證了依賴的安全性，實現了端到端的供應鏈安全。王青還指出，未來企業軟件供應鏈安全將趨向于進行評級，類似于DevOps評級，通過SLSA等級的評定，使企業CIO或CISO能夠準確識別軟件供應鏈管理的情況，從而實現更高水平的供應鏈安全。

《2024年全球軟件供應鏈發展報告》中的重要發現

一、管理開源軟件包至關重要

JFrog Catalog產品的真實用戶數據揭示了對開源軟件包管理的迫切需求。根據報告數據顯示，絕大多數外網請求集中在Docker Hub和NPM，并且軟件包的增長速度也在迅速加快。

在受訪的專業人士中，92%的受訪者表示至少采用了一個解決方案來監測惡意開源包。同時，89%的受訪者表示已經采用了OpenSSF SLSA等安全框架，這表明了對軟件供應鏈安全的高度關注。國內也有一些企業開始逐步引入這一安全標準，以加強軟件供應鏈的安全性。

對于開發人員，42%的受訪者表示最好在代碼編寫期間執行安全掃描，這表明安全左移仍有較大的發展空間。此外，48%的受訪者在代碼掃描時仍采用手動檢查，而非自動掃描。僅有1%的受訪者表示他們的代碼審查已經實現了完全的自動化。

此外，有25%的安全團隊將大量時間用于漏洞修復，即使這些漏洞可能被高估或不太適用。與此同時，可用軟件包的數量正在不斷增長，導致企業的軟件供應鏈日益龐大。面對開源生態系統組件的快速迭代，企業需要投入更多的精力來有效管理和確保這些組件的安全性。

二、企業對軟件供應鏈安全高度重視

根據報告中的安全實踐部分，企業在開發過程中對安全掃描的重視程度較高。數據顯示，59%的企業在編碼階段進行安全掃描，有59%的企業在構建階段進行安全掃描，57%的企業選擇在運行時進行安全掃描。這表明，企業在多個階段均重視安全問題，以確保軟件的安全性和可靠性。

在常用的應用程序安全解決方案方面，靜態應用程序安全測試(SAST)是使用最廣泛的，占比達到61%。動態應用程序安全測試(DAST)由于耗時較長，有58%的公司采用。同時，軟件構成分析(SCA)測試的占比也是58%，得益于其快速掃描的優勢，提升潛力巨大。API安全掃描的使用率為56%。

值得注意的是，27%的受訪者表示，他們的企業在編碼或構建階段進行安全掃描(即SAST)。12%的受訪者表示他們的企業僅在軟件構成分析階段進行安全掃描(即SCA)。56%的受訪者表示，他們的企業在源代碼和二進制文件層面進行安全掃描。這些數據表明，企業在安全掃描方面的實踐日趨全面和深入，反映出對軟件供應鏈安全的高度重視。

三、伴隨AI的涌入 相關安全風險需引起高度重視

在對大模型AI領域進行調研時，90%的受訪者表示他們的掃描工具支持AI。值得注意的是，32%的受訪者表示，他們的企業允許使用AI/ML應用來編寫代碼。但是因為ChatGPT生成的代碼可能存在漏洞，超過50%的受訪者表示，他們的企業允許開發人員使用AI/ML來協助編寫代碼，但僅限研究目的。

當前，黑客利用大模型的“幻覺”來植入惡意包的風險也在增加。由于大模型的開放性，任何人都可以使用并上傳知識來訓練它，黑客可能會預置惡意包并上傳到Docker Hub，以訓練GPT模型。通過這種惡意訓練，當用戶在詢問特定問題時，GPT模型可能會引導用戶下載惡意包，從而帶來安全風險。

隨著大模型AI技術的廣泛應用，相關的安全風險正引起高度重視。

90%的受訪者表示，他們的企業在某種程度上使用AI/ML應用來協助進行安全掃描或漏洞修復。94%的受訪者表示，他們的企業正采取措施來審查開源機器學習模型的安全性和合規性。近五分之一的受訪者表示，出于安全和合規考慮，他們所在的企業組織不允許使用 AI/ML來編寫代碼。

四、JFrog助力消除軟件供應鏈安全隱患

王青表示，全球范圍內企業對安全解決方案的使用情況存在顯著差異。在印度，65%的受訪者表示他們使用十個或更多的安全解決方案;而在中國、法國、德國、以色列和英國市場，約半數的受訪者使用六種或更少的應用程序安全解決方案，這表明這些地區傾向于使用統一的平臺進行安全掃描，而不希望購買過多的安全掃描工具。此外，54%的印度受訪者表示，他們的開發人員通常每月花費一周或更長時間來修復漏洞。法國和英國的受訪者則最不可能在軟件開發過程中使用AI和ML。

JFrog在與Docker公司進行聯合調研時，發現了Docker Hub中大量惡意無鏡像存儲庫，這些存儲庫多數帶有惡意目的，試圖欺騙用戶訪問釣魚網站或惡意軟件網站。JFrog識別出近300萬個托管過惡意內容的存儲庫，并將信息披露給Docker公司，后者已基本清理了這些惡意存儲庫，推動了互聯網鏡像下載的安全。

王青提醒用戶，通過與Docker的合作，JFrog希望警示大家在使用Docker鏡像時應謹慎，避免隨意下載。他建議使用JFrog的Curation和Xray工具進行Docker鏡像掃描，以確保鏡像的安全性和合規性。

提供優化定制解決方案 JFrog在中國市場快速增長

JFrog大中華和日本地區總經理董任遠表示，JFrog致力于提供端到端支持全語言開發運維的平臺，在全球范圍內服務了約7400家客戶，其中在中國及日本地區的客戶超過500家，涵蓋金融、制造和互聯網等主要行業。金融行業的頭部企業依賴JFrog的“兩地三中心”高可用解決方案來支持關鍵業務開發。制造業方面，JFrog在中國的汽車和電信制造行業擁有廣泛的客戶群體。隨著中國互聯網行業的持續發展，JFrog也為互聯網頭部品牌客戶提供了有力支持。

JFrog在中國的戰略是“in China， for China”，即以更合適的解決方案適配國產化產品，包括芯片、服務器、數據庫和中間件。過去一年，JFrog已完成對中國全線產品的國產信創適配，許多客戶將JFrog應用于信創環境中。針對中國市場的特殊需求，JFrog提供了優化和定制化的解決方案，特別是在汽車行業和安全領域，以支持中國企業的高速發展和出海需求，這一舉措使中國地區成為亞太區增長最快的區域。

中國的快速發展主要體現在新業務和傳統業務的兩個方面。新業務的增長主要來自于汽車行業，包括傳統車企和新能源車企。為了滿足行業需求，JFrog對產品進行了調整，適應新能源車的開發，并為全球化開發運維提供解決方案。此外，由于中國客戶主要采用私有化部署，使用國產化解決方案，JFrog進行了大量調優和測試。目前，許多金融類客戶已經將開發運維平臺遷移到信創環境中，JFrog提供了重要支持。展望未來，JFrog將繼續推動本地化優化，助力中國企業在數字化轉型和全球化發展中取得更大成功。