随着数字化和智能化转型的不断深入，企业面临的安全风险也日益增加，其中软件安全尤为重要。随着软件供应链的日益复杂和全球化，特别是在人工智能迅速普及的时代，全球的 DevSecOps 团队正在积极探索创新解决方案。然而，企业软件供应链背后隐藏的风险也愈发凸显。如何及时识别这些潜在风险，并采取有效措施加以应对，以确保企业软件的安全性、可靠性和可追溯性，成为当前亟待解决的重要问题。

近期，JFrog发布了最新的《2024年全球软件供应链发展报告》，该报告汇集了JFrog平台上数百万用户的使用数据、JFrog安全研究团队的CVE分析，以及对1200名安全、开发和运维人员进行的第三方调查数据。这份报告不仅提供了对企业软件供应链安全的全面分析，揭示了关键的安全风险因素，还分享了一系列保障企业软件供应链安全的最佳实践案例。这些实践案例有助于巩固企业的安全态势，确保其在竞争激烈的市场中保持持续增长的竞争优势。

JFrog助力企业提升软件供应链安全管理水平

JFrog中国技术总监王青表示，软件供应链概念诞生于一个知名的攻击事件，美国电信管理局为此建立了SBOM标准规范，为软件供应链清单/软件物料清单提供了框架，帮助企业内部对软件供应链进行有效管理。SBOM是包含软件应用中使用的所有组件、库和其他依赖项的列表。国际通用的SBOM标准格式包括SPDX、CDX和SWID，前两者由于记录着更详细的依赖信息而得到了更广泛的使用。其中，SPDX是Linux基金会的一个开源项目，旨在作为收集和共享软件数据的通用格式，是目前唯一一个获此认可的SBOM标准格式。

软件供应链自2011年开始进入人们的视野，至今已发展至相对成熟的阶段。如今，企业普遍认识到管理软件供应链的重要性，但各自采用不同的工具和方式进行管理。在这一阶段，建立一些标准以衡量软件供应链的成熟度显得尤为重要。

在此背景下，开源软件安全基金会(OpenSSF)提出了SLSA标准，定义了软件供应链管理的四个级别，从引入、构建、发布到传输和交付环节均有明确要求，为企业提供了有效的管理框架。

这一标准的提出，有助于企业更好地了解和评估自身软件供应链的安全性和成熟度水平，进而采取相应的措施加强安全防护。随着企业对软件供应链管理的日益重视，SLSA标准的推广应用将成为未来趋势，有望为企业软件供应链安全带来更加规范和有效的管理方式。

JFrog早已支持SPDX和SBOM的规范导出，能够一键支持单文件和聚合文件的导出，从而快速生成软件供应链。在JFrog的方案下，依赖包的来源从Artifactory来，有效保证了依赖的安全性，实现了端到端的供应链安全。王青还指出，未来企业软件供应链安全将趋向于进行评级，类似于DevOps评级，通过SLSA等级的评定，使企业CIO或CISO能够准确识别软件供应链管理的情况，从而实现更高水平的供应链安全。

《2024年全球软件供应链发展报告》中的重要发现

一、管理开源软件包至关重要

JFrog Catalog产品的真实用户数据揭示了对开源软件包管理的迫切需求。根据报告数据显示，绝大多数外网请求集中在Docker Hub和NPM，并且软件包的增长速度也在迅速加快。

在受访的专业人士中，92%的受访者表示至少采用了一个解决方案来监测恶意开源包。同时，89%的受访者表示已经采用了OpenSSF SLSA等安全框架，这表明了对软件供应链安全的高度关注。国内也有一些企业开始逐步引入这一安全标准，以加强软件供应链的安全性。

对于开发人员，42%的受访者表示最好在代码编写期间执行安全扫描，这表明安全左移仍有较大的发展空间。此外，48%的受访者在代码扫描时仍采用手动检查，而非自动扫描。仅有1%的受访者表示他们的代码审查已经实现了完全的自动化。

此外，有25%的安全团队将大量时间用于漏洞修复，即使这些漏洞可能被高估或不太适用。与此同时，可用软件包的数量正在不断增长，导致企业的软件供应链日益庞大。面对开源生态系统组件的快速迭代，企业需要投入更多的精力来有效管理和确保这些组件的安全性。

二、企业对软件供应链安全高度重视

根据报告中的安全实践部分，企业在开发过程中对安全扫描的重视程度较高。数据显示，59%的企业在编码阶段进行安全扫描，有59%的企业在构建阶段进行安全扫描，57%的企业选择在运行时进行安全扫描。这表明，企业在多个阶段均重视安全问题，以确保软件的安全性和可靠性。

在常用的应用程序安全解决方案方面，静态应用程序安全测试(SAST)是使用最广泛的，占比达到61%。动态应用程序安全测试(DAST)由于耗时较长，有58%的公司采用。同时，软件构成分析(SCA)测试的占比也是58%，得益于其快速扫描的优势，提升潜力巨大。API安全扫描的使用率为56%。

值得注意的是，27%的受访者表示，他们的企业在编码或构建阶段进行安全扫描(即SAST)。12%的受访者表示他们的企业仅在软件构成分析阶段进行安全扫描(即SCA)。56%的受访者表示，他们的企业在源代码和二进制文件层面进行安全扫描。这些数据表明，企业在安全扫描方面的实践日趋全面和深入，反映出对软件供应链安全的高度重视。

三、伴随AI的涌入 相关安全风险需引起高度重视

在对大模型AI领域进行调研时，90%的受访者表示他们的扫描工具支持AI。值得注意的是，32%的受访者表示，他们的企业允许使用AI/ML应用来编写代码。但是因为ChatGPT生成的代码可能存在漏洞，超过50%的受访者表示，他们的企业允许开发人员使用AI/ML来协助编写代码，但仅限研究目的。

当前，黑客利用大模型的“幻觉”来植入恶意包的风险也在增加。由于大模型的开放性，任何人都可以使用并上传知识来训练它，黑客可能会预置恶意包并上传到Docker Hub，以训练GPT模型。通过这种恶意训练，当用户在询问特定问题时，GPT模型可能会引导用户下载恶意包，从而带来安全风险。

随着大模型AI技术的广泛应用，相关的安全风险正引起高度重视。

90%的受访者表示，他们的企业在某种程度上使用AI/ML应用来协助进行安全扫描或漏洞修复。94%的受访者表示，他们的企业正采取措施来审查开源机器学习模型的安全性和合规性。近五分之一的受访者表示，出于安全和合规考虑，他们所在的企业组织不允许使用 AI/ML来编写代码。

四、JFrog助力消除软件供应链安全隐患

王青表示，全球范围内企业对安全解决方案的使用情况存在显著差异。在印度，65%的受访者表示他们使用十个或更多的安全解决方案;而在中国、法国、德国、以色列和英国市场，约半数的受访者使用六种或更少的应用程序安全解决方案，这表明这些地区倾向于使用统一的平台进行安全扫描，而不希望购买过多的安全扫描工具。此外，54%的印度受访者表示，他们的开发人员通常每月花费一周或更长时间来修复漏洞。法国和英国的受访者则最不可能在软件开发过程中使用AI和ML。

JFrog在与Docker公司进行联合调研时，发现了Docker Hub中大量恶意无镜像存储库，这些存储库多数带有恶意目的，试图欺骗用户访问钓鱼网站或恶意软件网站。JFrog识别出近300万个托管过恶意内容的存储库，并将信息披露给Docker公司，后者已基本清理了这些恶意存储库，推动了互联网镜像下载的安全。

王青提醒用户，通过与Docker的合作，JFrog希望警示大家在使用Docker镜像时应谨慎，避免随意下载。他建议使用JFrog的Curation和Xray工具进行Docker镜像扫描，以确保镜像的安全性和合规性。

提供优化定制解决方案 JFrog在中国市场快速增长

JFrog大中华和日本地区总经理董任远表示，JFrog致力于提供端到端支持全语言开发运维的平台，在全球范围内服务了约7400家客户，其中在中国及日本地区的客户超过500家，涵盖金融、制造和互联网等主要行业。金融行业的头部企业依赖JFrog的“两地三中心”高可用解决方案来支持关键业务开发。制造业方面，JFrog在中国的汽车和电信制造行业拥有广泛的客户群体。随着中国互联网行业的持续发展，JFrog也为互联网头部品牌客户提供了有力支持。

JFrog在中国的战略是“in China， for China”，即以更合适的解决方案适配国产化产品，包括芯片、服务器、数据库和中间件。过去一年，JFrog已完成对中国全线产品的国产信创适配，许多客户将JFrog应用于信创环境中。针对中国市场的特殊需求，JFrog提供了优化和定制化的解决方案，特别是在汽车行业和安全领域，以支持中国企业的高速发展和出海需求，这一举措使中国地区成为亚太区增长最快的区域。

中国的快速发展主要体现在新业务和传统业务的两个方面。新业务的增长主要来自于汽车行业，包括传统车企和新能源车企。为了满足行业需求，JFrog对产品进行了调整，适应新能源车的开发，并为全球化开发运维提供解决方案。此外，由于中国客户主要采用私有化部署，使用国产化解决方案，JFrog进行了大量调优和测试。目前，许多金融类客户已经将开发运维平台迁移到信创环境中，JFrog提供了重要支持。展望未来，JFrog将继续推动本地化优化，助力中国企业在数字化转型和全球化发展中取得更大成功。