软件供应链正面临威胁,这种影响波及各类组织。SolarWinds 和 MOVEit 等安全事件敲响了警钟,凸显了加强可视性和保护的必要性。
加拿大通用银行首席风险和安全官 Adam Ennamli 表示:"当今软件开发的现实是,我们都在构建层层叠加的系统,即使作为技术专业人士也无法完全掌握。现在几乎每个应用程序都是第三方组件的复杂拼接。如果要保持市场竞争力,这是不可避免的。问题在于,虽然这加快了开发周期,但也意味着你在承担未知风险。"
有些团队是在关键的开源组件突然停止维护或出现严重漏洞时,才意识到软件供应链风险的严重性。另一个因素是某些开源项目被故意投毒。同样,互联网上也在增加错误和误导性内容,这些内容会被大语言模型作为训练数据使用。
Ennamli 说:"供应链安全不能仅仅作为安全评估清单上的一项,因为它关系到产品可靠性的根本,也就是客户信任的基础。你需要了解环境中运行的代码、维护者是谁以及更新方式。这不仅仅是扫描软件包,而是要理解应用程序所依赖的整个生态系统。"
CIO 和 CISO 面临的一个主要挑战是数据流的可视性。
全球系统集成商 Myriad360 的现场 CISO Jeremy Ventura 表示:"由于组织环境不断变化和扩展,了解所有第三方供应商、资源和软件组件可能是一个重大障碍。这带来了数据问题:谁可以访问我的数据?我拥有什么类型的数据?我的数据在哪里发送和接收?什么时候访问我的数据?这些都是技术领导者每天应该问自己的问题。"
供应链风险是一项团队运动
开发人员不能独自管理风险,CISO 也不能。
Ventura 说:"有效保护、防御和应对供应链事件应该是多个部门的协作,包括安全、IT、法务、开发、产品等。不应该由单个部门完全负责整个供应链项目,因为它涉及组织内的多个业务单位。通常由 CISO 或安全团队牵头,因为网络安全风险应该被视为业务风险。"
最常见的错误之一是产生虚假的安全感。
Ventura 说:"'如果以前没有出现过供应链问题,为什么现在要修复?'这种思维方式会导致自满,使企业不够重视网络安全。另一个常见错误是组织过度依赖供应商评估,供应商可能声称自己是安全的,但实际上并未实施严格的控制措施。完全相信评估结果而不进行验证可能会导致严重问题。"
如果不关注供应链风险,组织将面临数据泄露、财务损失、合规处罚以及商业和声誉损害的高风险。据 Ventura 介绍,最近一家医疗机构因其供应商遭受攻击而发生数据泄露,导致患者数据丢失,最终受到合规和监管处罚。
"我的建议是关注数据可视性——包括组织数据、客户数据以及可能访问这些数据的第三方,"Ventura 说。"投资能够提供全面软件物料清单 (SBOM) 的解决方案用于审计,并持续对软件供应链供应商进行风险评估。最后,确保安全是多个内部部门共同承担的责任。"
加拿大通用银行的 Ennamli 表示,有效的供应链管理需要四个要素:
"所有这些组件需要协调一致地运作,否则要么会行动太慢而让开发人员感到沮丧,要么会行动太快而失去信任,"Ennamli 说。
JAVLIN Invest 的 CTO 兼首席产品官 Joseph Leung 表示,随着产品规模扩大和市场老化,第三方软件库中的漏洞本质上很难追踪。
"我们使用 OWASP Dependency-Check 等工具自动跟踪依赖关系,但不能完全依赖它。根据我的经验,管理威胁的最佳投资回报是让每个人都承担安全责任,"Leung 说。"在开发流程中制定审查库的政策并定期进行安全审查,这两个简单的流程可以在团队中培养以安全为重点的文化。简而言之,关键是在产品团队所有成员中创造最大的可视性。"
问题的根源在于组织缺乏对其应用程序中使用的第三方组件的洞察。
"漏洞披露的快速节奏可能会让团队不堪重负,"Leung 说。"资源分配、遗留系统和缺乏高管支持可能会进一步使安全工作复杂化。"
全方位建筑和工程公司 American Structurepoint 的 IT 和运营总监 Adam Martin 表示,跨职能协作至关重要。
"IT 和开发团队必须主动扫描和更新系统,而法务和采购部门应该审查供应商的安全实践,"Martin 说。"重要的是,高管层要认同优先考虑软件供应链安全的必要性。"
总结
组织需要更好地了解其应用程序中包含的内容。没有这种可视性,可能会导致各种不良后果,其中最重要的是潜在的责任风险。SBOM 和软件组成分析解决方案很有帮助。同样重要的是完善内部流程,创造重视软件和依赖项可视性的协作文化。
好文章,需要你的鼓励
Docker公司通过增强的compose框架和新基础设施工具,将自己定位为AI智能体开发的核心编排平台。该平台在compose规范中新增"models"元素,允许开发者在同一YAML文件中定义AI智能体、大语言模型和工具。支持LangGraph、CrewAI等多个AI框架,提供Docker Offload服务访问NVIDIA L4 GPU,并与谷歌云、微软Azure建立合作。通过MCP网关提供企业级安全隔离,解决了企业AI项目从概念验证到生产部署的断层问题。
中科院联合字节跳动开发全新AI评测基准TreeBench,揭示当前最先进模型在复杂视觉推理上的重大缺陷。即使OpenAI o3也仅获得54.87%分数。研究团队同时提出TreeVGR训练方法,通过要求AI同时给出答案和精确定位,实现真正可追溯的视觉推理,为构建更透明可信的AI系统开辟新路径。
马斯克的AI女友"Ani"引爆全球,腾讯RLVER框架突破情感理解边界:AI下半场竞争核心已转向对人性的精准把握。当技术学会共情,虚拟陪伴不再停留于脚本应答,而是通过"心与心的循环"真正理解人类孤独——这背后是强化学习算法与思考模式的化学反应,让AI从解决问题转向拥抱情感。
PyVision是上海AI实验室开发的革命性视觉推理框架,让AI系统能够根据具体问题动态创造Python工具,而非依赖预设工具集。通过多轮交互机制,PyVision在多项基准测试中实现显著性能提升,其中在符号视觉任务上提升达31.1%。该框架展现了从"工具使用者"到"工具创造者"的AI能力跃迁,为通用人工智能的发展开辟了新路径。