文章详情

近日，JFrog 公司发布了《2025年软件供应链现状报告》，揭示了在人工智能（AI）迅速发展的背景下，软件供应链所面临的严峻安全挑战。根据该报告，研究团队通过对1400多名专业人士的调研，以及来自7000多家客户的数据分析，勾勒出了一幅令人为之担忧的安全图景。

报告指出，过去一年中，软件供应链的安全漏洞急剧增加，其中 “秘密” 或机密信息的曝光案例同比增长了64%，总计达到了惊人的25，229例。这一数据表明，随着企业对机器学习（ML）模型的依赖加深，安全风险也在不断上升。尽管94% 的公司表示使用认证清单来管理 ML 模型，但其中37% 的公司仍依赖手动方式进行验证，显然这加大了安全隐患。

与此同时，2024年新增的安全漏洞（CVE）数量也高达33，000个，相比2023年增加了27%。令人担忧的是，只有12% 的 CVE 被证实真的具有 “严重” 级别，这或许反映出评分系统存在 “膨胀” 现象，可能导致开发者面临不必要的修复压力和工作疲惫。

JFrog 的首席技术官 Yoav Landman 指出，尽管许多组织在积极采用公共 ML 模型推动创新，但缺乏自动化的工具链和治理流程使得安全管理愈加复杂。他呼吁，企业在快速发展的 AI 环境中，应加速自动化转型，以确保在提升创新潜力的同时，也能保障软件的安全性。

整体来看，当前的软件供应链安全问题不仅是技术上的挑战，更是企业管理与运营方式的考验。在 AI 时代，建立更为严密的安全防护措施，已经成为各大企业亟需面对的任务。