/
开源技术2025年四大趋势深度解析
2025年开源软件发展围绕四大趋势展开:AI领域快速崛起,开源AI数据集和框架获得显著进展,代理AI完全依赖开源技术;商业模式持续演进,更多公司从开源转向"伪开源"许可,引发项目分叉;资金短缺问题加剧,60%的开源维护者无报酬,威胁项目可持续性;供应链安全面临严峻挑战,恶意软件包攻击激增,需要更严格的安全措施和SBOM等工具保护。
可信开源软件现状报告:AI重塑技术栈基线
Chainguard发布可信开源软件季度报告,基于1800多个容器镜像项目和近5亿次构建的数据分析。报告显示:Python因AI需求成为最受欢迎的开源镜像;超半数生产环境运行在热门项目之外的长尾镜像上;98%的漏洞出现在非热门项目中,安全负担主要集中在不太显眼的技术栈部分;44%客户在生产环境中使用FIPS镜像以满足合规要求;Chainguard平均在20小时内修复关键漏洞。
AI代码编辑器扩展推荐漏洞引发供应链安全风险
热门AI驱动的VS Code衍生工具如Cursor、Windsurf等被发现推荐Open VSX注册表中不存在的扩展程序,为恶意攻击者发布同名恶意软件包创造机会。这些IDE继承了微软扩展市场的官方推荐列表,但这些扩展在Open VSX中并不存在。攻击者可利用此漏洞上传恶意扩展,当开发者安装推荐扩展时可能导致敏感数据泄露。
英国加强勒索软件反击,发布供应链安全指引
英国政府发布新的反勒索软件指导文件,旨在解决供应链安全薄弱环节。该指南与新加坡当局联合制定,帮助组织识别供应链问题并采取实际措施检查供应商安全性。英国国家网络安全中心过去一年处理了204起"国家重大"网络安全事件。指南强调选择安全可靠的供应商、加强合同网络安全条款、进行独立审计等措施,以提升供应链韧性和防范网络攻击。
Lenovo CSO:AI 应用加剧安全顾虑
联想首席安全官Doug Fisher近日接受采访,分享了公司在安全和AI治理方面的策略。他强调了建立客户信任的重要性,介绍了联想全面的安全体系和AI项目审核流程。Fisher还讨论了人才短缺、供应链安全等挑战,以及AI加速带来的新威胁。他表示,保持"偏执"的安全意识对于在瞬息万变的数字环境中生存至关重要。
京公网安备 11010802021500号
