10月10日安势信息受邀参加工业互联网产业联盟第26次工作组全会,高级产品经理白懿轩凭借在软件供应链安全领域多年来服务众多行业头部客户积累的丰富实战经验和AI领域的深度研究,在【开源特设组、知识产权特设组联席会】分享了《AIGC时代的新形态软件供应链安全》。
AIGC时代下软件供应链安全呈现的主要趋势:
1
在软件供应链中,通过依赖大量数据训练出的AIGC模型,如果有数据提供方被恶意攻击或数据本身存在错误、虚假信息就可能导致训练数据被污染,另外AIGC在处理数据时可能因涉及到用户个人信息和企业商业机密等敏感数据导致泄漏加大了数据安全风险。
2
在代码生成侧,由于AIGC生成的代码在质量和安全性方面可能存在代码漏洞、逻辑错误等问题导致软件系统被攻击以及随着AIGC生成代码的广泛应用,代码的来源和真实性的溯源变得更加困难。
3
AIGC时代下软件的开发往往涉及数据提供商、算法开发者、模型训练者、软件集成商等多方协同参与,中间任何一方和环节安全管理不到位都可能导致数据泄漏和代码被篡改等风险。从软件供应链全球化来看,软件的开发、测试、部署等环节分布在不同国家和区域也在一定程度上增加了软件供应链管理难度以及跨国软件供应链中的合规风险。
基于上述AIGC时代下的软件供应链安全困境,白懿轩女士分享了安势信息针对AI+软件供应链安全治理解决方案:清源 CleanSource SCA+清流 PureStream AI Platform+清本 CleanCode SAST:
清源 CleanSource SCA:高效管理企业开源组件安全与许可证合规
清源 CleanSource 作为一款自主可控的软件成分分析工具可与DevOps流程和工具集成,凭借业界强大的精确目录匹配、文件匹配、代码片段匹配、构建扫描和非构建扫描等识别技术和算法自动化准确识别产品中的所有开源软件引入的场景并生成全面、完整的SBOM以及漏洞可达性技术持续监控、识别开源漏洞及漏洞版本、许可证出口管制风险,可快速助力企业及时定位和修复。
清流 PureStream AI Platform:构建AIGC时代软件供应链安全与合规底座
清流 PureStream作为AI数据治理平台主要运用于训练数据集检测、模型检测和AIGC输出内容及代码检测。安势信息凭借开源代码处理的丰富实践以及全栈大规模数据处理能力,成为行业首家支持PB级开源数据集的厂商;融合了多种先进算法,满足海量且日益增长的数据检索;支持数据来源、版权、许可证、数据是否包含隐私数据等丰富的多样的数据标签;支持文档级和文档段落级的检测,让企业在进行检测过程中可兼顾准确性和速度。
清本 CleanCode SAST:发现代码缺陷,提升代码质量,降低漏洞修复成本
清本 CleanCode作为一款企业级白盒静态代码扫描工具,无需依托CI环境只需将编译后的代码放入平台即可进行扫描,实时监测当前代码质量;拥有丰富的检测指标在看板进行展示;可以对缺陷进行精确的跟踪和快速的修复;同时可以根据业务场景,自定义检测方案。
最后,白懿轩女士就AI+软件供应链安全解决方案在互联网、汽车、智能制造等行业的成功落地案例进行了分享,作为国产化替代的最优方案,安势信息无论是在安全合规、技术能力、稳定性和各项服务层面都具有显著优势。
关于安势信息
上海安势信息技术有限公司是国内先进的软件供应链安全治理解决方案提供商,核心团队来自Synopsys、华为、阿里巴巴、腾讯、中兴等国内外企业。安势信息始终坚持DevSecOps的理念和实践,以多维探测和底层引擎开发等技术为核心,提供包括清源CleanSource SCA(软件成分分析)、清本CleanCode SAST(企业级白盒静态代码扫描)、清正CleanBinary (二进制代码扫描)、安全服务等产品和解决方案,覆盖互联网、汽车、医疗、通信、金融等多元化场景的软件供应链安全治理最佳实践。
欢迎访问安势信息官www.sectrend.com.cn或发送邮件至 info@sectrend.com.cn垂询。
