共享是互联网科技发展给人类带来的最大红利。互联网以共享的形式极大降低了许多领域的进入成本，让科技的发展普惠大众。在IT领域，互联网带来的共享便利就体现在开源文化的推行，这不仅丰富了IT产品，也塑造了IT行业生态，软件的开发更加便捷，迭代速度越来越快，形成了“软件定义”的行业生态。

但网络安全问题却是互联网的共享、开源所带来的副产品，始终威胁着以开源为创新动力的企业。在软件定义的互联网新时代里，软件供应链的安全就关乎企业的网络安全、经营安全。JFrog是支持几乎所有计算机语言运维的解决方案服务商，因其产品运维覆盖面广，是世界上大多数企业网络安全的首选。JFrog最近发布了一份《2024 年全球软件供应链发展报告》，总结了当前软件创新中供应链里潜藏的风险，为企业在创新中保障供应链安全提供了参考意见。

AI时代更需要全语音软件供应链运维平台

JFrog的这份《2024 年全球软件供应链发展报告》是根据7000余家企业的JFrog Artifactory开发者使用数据、JFrog安全研究团队原创的CVE分析、以及委托第三方对全球1200名技术专业人士进行的调查数据综合分析得出，因此其分析的结论非常有行业代表性。

AI的崛起是近两年来对全世界影响最大的科技事件，如果说开源带来了软件定义几乎重塑了IT行业的生态，那么AI强势兴起以后又对这个领域的重塑带来了新的动力。AI大模型的后端是由一系列的供应链进行支撑的，包括模型、数据集、Python脚本等等，它们都要在容器环境里运行。因此，AI带来的变化是容器成为了主流，并且开发语言涉及面更广泛，这是当前软件供应链安全需要面对的新趋势。

所以，在当前AI大潮冲击下，企业要保障自己的软件供应链安全，选择一个全语言的运维平台来检测软件供应链漏洞就十分必要。根据JFrog Catalog产品总结出的数据显示，92%的公司都有恶意开源包的扫描工具，89%的受访者表示其采用了谷歌主导的OpenSSF SLSA的框架，这是一个由开源软件安全基金会（Open Source Security Foundation）推广的软件供应链安全的标准，在国际上广受认可。

JFrog将安全运维人员从无效的保护中解放

2023 年，JFrog安全研究团队分析了190个热门CVE，其中影响最大的是拒绝服务（DoS）攻击，其次是远程代码执行（RCE）。在对企业组织的影响方面，RCE是攻击者梦寐以求的漏洞，比DoS攻击更严重，因为它可能提供对后端系统的完全访问权限。

企业如果采用适当的应用程序和安全框架，很多漏洞本身并不特别危险，但是如本地权限提升和身份验证等绕过监测，与远程代码执行等其他漏洞相结合，会让攻击者从web用户变成拥有系统root权限的用户躲过防护屏障。因此，对系统架构的设计应经过深思熟虑，防止越界访问事件的发生。

根据美国国家漏洞数据库统计的CVE数据显示，在2022年1月至2023年11月，“严重”和“低危”CVE数量相对来说变化不大，但“中危”和“高危”CVE有所增加。但JFrog认为，并非所有的CVE评级都名副其实。JFrog安全研究团队会定期评估CVE，以确定其实际影响进行严重程度评级。JFrog严重程度评级由JFrog的DevSecOps专家制定，将可利用漏洞的配置要求纳入考量。

传统的CVSS评级仅关注漏洞利用的严重性，而非其被利用的可能性，后者需要结合具体情境才能做出有效的评估。有时，可利用漏洞的配置要求或利用方法是针对特定软件包或依赖项的非标准设置，有可能降低漏洞被利用的可能性。

JFrog在Docker Hub里分析了最受欢迎的100个镜像，比如Tomcat、 Ubuntu、GDK等下载量最高的镜像，里面有很多CVSS评分的漏洞。但分析结果显示，74%的漏洞实际是不可被利用的。

JFrog中国技术总监王青表示：“我们调研了212个CVE样本。JFrog安全团队将85%的‘严重’CVE和73%的‘高危’CVE下调了评级。这就意味着研发团队能够避免付出额外精力关注漏洞分数虚高的漏洞。”

通过JFrog这次发布的报告，我们可以看出，虽然安全漏洞的数量每年都在增加，但这并不意味着其严重性也在同步上升。作为一个企业的防护之盾，应该随时关注安全趋势的变化，抓住主要矛盾，而不是把有限的物力、人力投入无限增加的安全工作之中，把好钢用在刀刃上。只有不断应时而变，调整战略，提升技术，才能在网络安全形势不断变化的互联网新时代不被技术本身所淘汰。（文/徐培炎）