JFrog报告回顾了供应链安全领域动荡的一年
内容提要
2025年,软件供应链面临前所未有的安全挑战,AI的快速发展扩大了攻击面。JFrog报告显示,恶意活动激增451%。尽管97%的企业声称有治理措施,但实际执行不足,导致AI治理严重脱节。企业需从被动修补转向系统性风险控制,以应对不断增加的恶意依赖和软件包数量。
关键要点
-
2025年,软件供应链面临前所未有的安全挑战,AI的快速发展扩大了攻击面。
-
JFrog报告显示,恶意活动激增451%,攻击者利用IDE扩展、MCP服务器和开源二进制文件发起攻击。
-
尽管97%的企业声称有治理措施,但实际执行不足,导致AI治理严重脱节。
-
2025年,软件包数量激增至1170万个,比去年增长67%。
-
41%的企业正在积极使用AI和ML库,平均管理的包数量比去年增加47%。
-
53%的组织直接从公共注册表中提取AI模型,存在重大安全风险。
-
现代安全的操作负担加重,近48%的企业需要一周或更长时间才能生成合规审计证明。
-
JFrog报告强调,软件攻击面已经扩展,企业需要从被动修补转向系统性风险控制。
延伸解读
供应链安全的挑战
2025年,软件供应链面临前所未有的安全挑战,恶意活动激增451%。这表明,随着AI技术的快速发展,攻击者利用新兴工具和开源资源发起攻击,企业必须重新评估其安全策略,确保能够应对不断变化的威胁环境。
治理措施的缺失
尽管97%的企业声称已实施AI治理,但实际执行不足,导致治理与现实脱节。这种治理缺失可能使企业面临更大的安全风险,尤其是在快速集成AI工具的情况下,企业需要加强对开发流程的监管。
软件包数量的激增
2025年,软件包数量激增至1170万个,增长67%。这一变化不仅增加了潜在的安全漏洞,也使得开发团队在管理和审计合规性方面面临更大压力。企业需采取系统性风险控制措施,以应对这一挑战。
AI模型的安全风险
53%的组织直接从公共注册表中提取AI模型,这一做法存在重大安全隐患。尽管企业声称有治理措施,但实际情况却显示出治理的有效性不足,企业需警惕从公共源获取模型带来的潜在风险。
延伸问答
2025年软件供应链面临哪些安全挑战?
2025年,软件供应链面临前所未有的安全挑战,AI的快速发展扩大了攻击面,恶意活动激增451%。
JFrog报告中提到的恶意活动增长数据是什么?
JFrog报告显示,恶意活动激增451%,攻击者利用IDE扩展、MCP服务器和开源二进制文件发起攻击。
企业在AI治理方面存在哪些问题?
尽管97%的企业声称有治理措施,但实际执行不足,导致AI治理严重脱节,许多企业没有有效的治理措施。
软件包数量在2025年增长了多少?
2025年,软件包数量激增至1170万个,比去年增长67%。
企业如何应对软件供应链中的安全风险?
企业需从被动修补转向系统性风险控制,以应对不断增加的恶意依赖和软件包数量。
JFrog报告对未来软件供应链的建议是什么?
JFrog报告建议企业从管理CVE噪音转向战略性控制整个软件风险表面,特别是在AI工件主导供应链叙事的背景下。
