AI 代码生成工具的兴起正在重塑开发者编写软件的方式,同时也给软件供应链带来了新的风险。AI 编码助手经常会产生幻觉,建议使用不存在的软件包。黑客可能会利用这些虚构的包名上传恶意软件,当 AI 再次幻想出相同的名称时,就会导致安装和执行恶意代码。这种新型攻击被称为"slopsquatting",给软件生态系统带来了严峻挑战。
软件供应链正面临攻击,影响范围波及各类组织。SolarWinds和MOVEit等安全事件敲响警钟,凸显了加强可见性和保护的迫切需求。专家指出,当今软件开发依赖大量第三方组件,带来未知风险。组织需要全面了解代码来源、维护者和更新方式,将供应链安全视为产品可靠性的关键。有效管理需要跨部门合作、持续评估和平衡开发效率与安全性。
文章指出,C语言存在严重的缓冲区溢出安全隐患,呼吁开发者转向更安全的现代编程语言。尽管转型存在技术和文化挑战,但为了提高代码质量和安全性,这一转变势在必行。文章建议企业尽快采取行动,以避免潜在的法律风险和竞争劣势。
根据近日发布的一项调查结果显示,那些制定了开源软件(OSS)安全策略的企业,往往在自我评估就绪程度方面有更好的表现,而且他们通常都有自己专门的团队负责推动软件安全性。