近日,JFrog 公司发布了《2025年软件供应链现状报告》,揭示了在人工智能(AI)迅速发展的背景下,软件供应链所面临的严峻安全挑战。根据该报告,研究团队通过对1400多名专业人士的调研,以及来自7000多家客户的数据分析,勾勒出了一幅令人为之担忧的安全图景。
报告指出,过去一年中,软件供应链的安全漏洞急剧增加,其中 “秘密” 或机密信息的曝光案例同比增长了64%,总计达到了惊人的25,229例。这一数据表明,随着企业对机器学习(ML)模型的依赖加深,安全风险也在不断上升。尽管94% 的公司表示使用认证清单来管理 ML 模型,但其中37% 的公司仍依赖手动方式进行验证,显然这加大了安全隐患。
与此同时,2024年新增的安全漏洞(CVE)数量也高达33,000个,相比2023年增加了27%。令人担忧的是,只有12% 的 CVE 被证实真的具有 “严重” 级别,这或许反映出评分系统存在 “膨胀” 现象,可能导致开发者面临不必要的修复压力和工作疲惫。
JFrog 的首席技术官 Yoav Landman 指出,尽管许多组织在积极采用公共 ML 模型推动创新,但缺乏自动化的工具链和治理流程使得安全管理愈加复杂。他呼吁,企业在快速发展的 AI 环境中,应加速自动化转型,以确保在提升创新潜力的同时,也能保障软件的安全性。
整体来看,当前的软件供应链安全问题不仅是技术上的挑战,更是企业管理与运营方式的考验。在 AI 时代,建立更为严密的安全防护措施,已经成为各大企业亟需面对的任务。
