在其最新一次减少不必要安全警报干扰的策略中,Socket 收购了 Coana,这是一家由丹麦奥胡斯大学研究人员于 2022 年创立的初创公司,旨在告知用户哪些漏洞可以安全地忽略。
Socket 供应链安全业务的首席执行官 Feross Aboukhadijeh 在接受 The Register 采访时表示,“所有安全工具的问题(而这并非我们首创)在于警报太多了。噪音太大了。”
工具越好,产生的噪音也就越多。
Aboukhadijeh 解释说,“如果你发现的漏洞是其他工具找不到的,那你最终将收到更多警报。”
他进一步表示,Socket 的客户——那些使用该公司依赖扫描工具来捕捉应用库中漏洞的软件开发者——已反映了这一问题。他们不希望一次彻底的依赖扫描会不必要地增加他们的工作量。
来自 'npm audit' 的安全警告泛滥使开发者分心
现代软件应用通常包含大量依赖项。这些依赖项是被导入应用中的模块、框架或库,用以提供一系列功能或能力,从而使开发者无需为已解决的问题重复造轮子。
根据 GitHub 2020 年《Octoverse 状态报告》 [PDF],“JavaScript 的中位依赖量最高(10 个),其次是 Ruby 与 PHP(9 个),Java(8 个),而 .NET 与 Python 最少(6 个)。”
然而,每个直接依赖可能还会带有间接或传递性依赖——即由其他模块导入的模块。可以想象,一位晚宴嘉宾带了一位朋友,而这位朋友又邀请了更多人,而每个人可能还会带来伴侣,情况会迅速变得难以管理。
这也是为什么 JavaScript 应用中的传递性依赖中位数约为 683。
与此相比,在 PHP、Ruby 与 Python 等语言中,由于各自打包理念的差异,中位依赖总数分别较低,为 70、68 和 19。具体来说,依赖 npm 软件包注册中心的 JavaScript 生态系统鼓励采用微打包——也就是使用大量小型库的方式——而其他语言则不然。
关键在于,开发者创建应用时往往会导入大量第三方软件,这些软件需要严格检查以发现潜在的安全缺陷。
这时,Coana 问世。Socket 构建工具以寻找漏洞,而 Coana 则致力于构建工具识别哪些漏洞可以被忽略。
Coana 开发了一种可达性分析方法,以确定攻击者是否真的能够触及并利用某个软件漏洞。
Aboukhadijeh 将可达性分析比作检查一所房子中的门的数量。如果前门未锁,则存在直接的安全风险;但如果地下室中有扇未锁的门,且其前还有几扇锁着的门,则可能还有其他更需要关注的问题。
Aboukhadijeh 表示,其他公司也已实现可达性分析系统,但他认为其工具运行缓慢。
他解释道:“你可能会遇到一个扫描过程需要运行 10 小时,或者在大型代码库上根本无法完成扫描的情况,所以实际上很难部署这种工具。”
他说,Coana 的实现能够在合理的时间内完成扫描,而且误报与漏报都极少。
Coana 的联合创始人兼首席产品官 Martin Torp 表示,他们的方法依赖于静态分析,而非运行时分析,主要原因在于部署起来更简单。
他说:“但静态分析的难点在于分析精确度与可扩展性之间的权衡。而在能够扩展到大型企业应用同时仍然保持高度准确的结果之间找到最佳平衡点,确实相当困难。”
Torp 解释说,Coana 通过对人们实际编程方式做出一些假设,从而使其静态分析(即在不运行代码的前提下分析代码)更为高效。
Torp 说:“我们知道代码中存在一些理论上可以写出但在实际中非常罕见的模式。通过找到这种反映人们实际编程方式的启发式方法,我们构建出一种既适合大规模分析,又具有极低漏报率和误报率的工具。”
他补充道,这一成果对于 JavaScript 和 Python 等动态编程语言尤其具有吸引力,因为这些语言的某些特性只有在程序运行时才能显现出来,使得静态分析显得更加困难。
Torp 表示:“从用户的角度看,他们拥有一个应用,该应用依赖于一些软件库或包,而这些包中几乎总是存在漏洞。而可达性分析所做的,就是扫描整个应用——包括所有依赖代码——并过滤或标记出在该特定应用环境中实际相关的漏洞。”
从本质上讲,用户将会收到通知,指出哪些漏洞实际上不可能被利用,从而大大减轻安全团队的工作负担。
Aboukhadijeh 指出,安全工作负载并没有改善,反而愈发严峻,并提到 Socket 每周大约会发现 500 个恶意软件包。
他说:“实际上 npm 团队曾告知我,对于下载量较低的恶意软件包,他们不会优先处理。”
好文章,需要你的鼓励
Gartner预测,到2030年所有IT工作都将涉及AI技术的使用,这与目前81%的IT工作不使用AI形成鲜明对比。届时25%的IT工作将完全由机器人执行,75%由人类在AI辅助下完成。尽管AI将取代部分入门级IT职位,但Gartner认为不会出现大规模失业潮,目前仅1%的失业由AI造成。研究显示65%的公司在AI投资上亏损,而世界经济论坛预计AI到2030年创造的就业机会将比消除的多7800万个。
CORA是微软研究院与谷歌研究团队联合开发的突破性AI视觉模型,发表于2023年CVPR会议。它通过创新的"区域提示"和"锚点预匹配"技术,成功解决了计算机视觉领域的一大挑战——开放词汇目标检测。CORA能够识别训练数据中从未出现过的物体类别,就像人类能够举一反三一样。在LVIS数据集测试中,CORA的性能比现有最佳方法提高了4.6个百分点,尤其在稀有类别识别上表现突出。这一技术有望广泛应用于自动驾驶、零售、安防和辅助技术等多个领域。
人工智能正从软件故事转向AI工厂基础,芯片、数据管道和网络协同工作形成数字化生产系统。这种新兴模式重新定义了性能衡量标准和跨行业价值创造方式。AI工厂将定制半导体、低延迟结构和大规模数据仪器整合为实时反馈循环,产生竞争优势。博通、英伟达和IBM正在引领这一转变,通过长期定制芯片合同和企业遥测技术,将传统体验转化为活跃的数字生态系统。
中国电信研究院联合重庆大学、北航发布T2R-bench基准,首次系统评估AI从工业表格生成专业报告的能力。研究涵盖457个真实工业表格,测试25个主流AI模型,发现最强模型得分仅62.71%,远低于人类专家96.52%。揭示AI在处理复杂结构表格、超大规模数据时存在数字计算错误、信息遗漏等关键缺陷,为AI数据分析技术改进指明方向。