A2--張鵬--AISecOps軟件供應鏈管理實踐.pdf

《A2--張鵬--AISecOps軟件供應鏈管理實踐.pdf》由會員分享，可在線閱讀，更多相關《A2--張鵬--AISecOps軟件供應鏈管理實踐.pdf（32頁珍藏版）》請在三個皮匠報告上搜索。

1、AISecOps 軟件供應鏈管理實踐張鵬JFrog 解決方案架構師張鵬JFrog 解決方案架構師專注于 DevSecOps 解決方案設計與實施，具有豐富研發和云服務經驗，負責JFrog中國南區及港澳臺區域業務，具有豐富的銀行、證劵、科技等行業的DevSecOps 建設實踐經驗。目錄01CONTENTS0203AI 時代的 DevSecOps 變革制品庫的“多類型”&“大模型”管理實踐制品庫的“軟件供應鏈安全”管理實踐04Demo&案例1.AI 時代的 DevSecOps 變革JFrog 軟件供應鏈管理平臺Artifactory（30+制品管理，Huggingface）Xray（18+制品掃描）

2、Curation（OSS 引入管理）JFrog Advanced Security（SAST）Runtime Security（保持關注）關于JFrogJFrog二進制文件開發打包晉級分發部署運行引入代碼變革：世界仍在 OSS 上運行？“我們正處于 AI 的起跑線上，每個行業都將被革命”“蘋果或因 AI 取消了電動汽車計劃”“DevSecOps 實踐將為 AI/ML 開發和安全提供寶貴經驗”觀點&思考2.制品庫的“多類型”&“大模型”管理實踐FTP/SVNMaven 庫NexusNPM 庫NPMDocker 庫HarborC#,.Net 庫Nuget公有云私有云容器云開發團隊開發團隊開發團隊開

3、發團隊開發團隊開發團隊統一代碼庫統一持續集成1.研發團隊使用多種私服賬號構建速度慢3.測試團隊版本信息不透明版本缺乏質量信息4.運維團隊高可用性維護難從研發到生產傳包慢2.安全團隊漏洞發現難影響定位難“最早的問題是 FTP/SVN，最新的問題也是”上一代軟件管理方式https:/huggingface.co/blog/introducing-private-hub通過與 ML/Data Sci 團隊的數千次對話，有了對構建 ML 面臨的最常見問題和挑戰的獨特視角：重復的工作、不良的反饋循環、跨團隊協作的高摩擦、非標準流程和工具以及生產模型優化困難。我們不再提供 Private Hub 本地部署

4、?！邦愃朴?Private Github、Private Dockerhub，也需要 Private Huggingface Hub”為什么需要 Private Huggingface Hubhttps:/ ML 效率問題AI/ML 與“傳統”軟件研發的異同使用 S3 存儲桶這會讓數據科學家自行命名每個上傳，這通常會導致命名不一致、File_Name_Final_Final_Final 難題，甚至丟失文件。使用 GIT數據科學家和工程師只需在 Main 分支上堆疊 Commit，利益相關者可以看到以前的提交，但沒有簡單的方法可以知道他們每次提交會得到什么，因為名稱只是一組隨機字符?！盎?FT

5、P/SVN 的手工作坊又回來了”如今 AI/ML 模型版本管理的問題1.研發依賴管理（多地同步）多種語言包的管理能力，Maven、Docker、Python、Conda、Huggingface 模型上傳下載2.大文件管理（本地上傳下載）對比 FTP/S3 具有去重存儲和上傳，降低存儲和傳輸成本，高可用，靈活權限管理和 API 集成單機制品庫上傳速度上限為 1000MB/s單機制品庫下載速度為 880MB/s（客戶端數量不足，理論能打滿帶寬）橫向擴展制品庫節點，可以倍數提高上傳和下載速度3.E+制品分發（邊緣就近下載）通過 Release Bundle 分片分發，GPG 簽名保護下載權限分發制品

6、傳輸速度為 100MB/s（兩地互聯網帶寬限制）ArtifactoryArtifactory“多類型”和“大模型”使用場景ArtifactoryArtifactory“多類型”管理Conan、Terraform、SwiftPython、Conda、Docker、HuggingfaceArtifactoryArtifactory“大模型”管理對比 FTP/S3-并發下載可打滿 80-100%帶寬ArtifactoryArtifactory 對比 FTP 傳輸的優勢1.Artifactory 支持去重上傳，降低存儲成本。2.Artifactory 支持多線程自動同步，支持去重傳輸，降低存儲成本和傳

7、輸成本。3.Artifactory 支持接口調用，和 webhook 響應，更適合和業務系統集成。4.Artifactory 支持高可用模式，可輕易水平擴容和災備。5.Artifactory 支持多種類型對象存儲，支持 S3 重定向下載。還有更多1.更好的存儲和性能，替換 FTP/S32.模型管理版本化3.元數據可視化4.存儲空間可清理5.易于分享模型6.晉級模型，而無額外存儲成本7.同步模型到生產環境，而無額外網絡成本8.模型安全掃描https:/ AI/MLAI/ML模型版本管理方式例如，JFrog 與 Qwak 集成的完整AISecOps 解決方案，可實現團隊之間的無縫交叉協作。1.將所

8、有模型、制品集中在唯一可信源中2.減少外部服務中斷或消除公共存儲庫中模型或包版本的潛在風險3.管理和限制對外部私有或公共存儲庫的訪問，確保用戶只能使用經過批準的源4.為利益相關者提供有關公司內部使用的內容的全面透明度JFrog+Qwak-https:/ SageMaker-https:/ AISecJFrog AISecOps Ops 集成架構3.制品庫的“軟件供應鏈安全”管理實踐軟件供應鏈攻擊上漲 100 倍攻擊面不斷擴大注入惡意套餐發現0 天攻擊生產虐待配置錯誤篡改二進制文件偷秘密開發CVE開發打包晉級分發部署運行引入漏洞？惡意？許可證？可維護？當開發者陷入困境時，攻擊者卻想出了辦法新的攻

9、擊ChatGPT包存儲庫攻擊者3、發布惡意包1.問題2.回復不存在的包5.回答帶有惡意包名稱4.問題開發者6.npm install7.惡意代碼執行https:/ ChatGPT 的新型攻擊使用 Huggingface 的數據科學家成為攻擊目標某些模型使用“pickle”格式，這是序列化 Python 對象的常見格式。但是，pickle 文件還可以包含加載文件時執行的任意代碼。加載 ML 模型如何導致代碼執行？HuggingFace 安全措施HuggingFace 實施了多種安全措施，例如惡意軟件掃描、pickle 掃描和秘密掃描。HuggingFace 開發了一種用于安全存儲模型數據的新格式

10、，稱為 safetensors。雖然 Hugging Face 對 pickle 模型進行掃描，但它不會完全阻止或限制它們的下載。不僅基于 pickle 的模型容易執行惡意代碼。例如，Hugging Face 上第二流行的模型類型 Tensorflow Keras 模型也可以通過其 Lambda 層執行代碼。JFrogJFrog對HuggingFaceHuggingFace的安全監控PyTorch 模型（大幅）和 Tensorflow Keras 模型（H5 或 SavedModel 格式）構成執行惡意代碼的最高潛在風險，因為它們是流行的模型類型，具有已發布的已知代碼執行技術。PyTorch

11、模型的流行率最高，緊隨其后的是Tensorflow Keras 模型。需要強調的是，當我們提到“惡意模型”時，我們特指那些包含真實、有害有效負載的模型。baller423 有害負載：將 Shell 逆向惡意主機JFrog 的掃描環境標記了一個特別有趣的 PyTorch 模型，該模型由名為 baller423 的新用戶上傳，但已被刪除。存儲庫 baller423/goober2 包含一個 PyTorch 模型文件。在蜜罐環境中，植入了數據科學家通常使用的誘餌秘密和應用程序，監控潛在攻擊者執行的所有命令。https:/ PACKAGE DETECTIONOPERATIONAL RISK POLICIESLICENCE CLEARANCECONTEXTUAL ANALYSIS基礎安全 Xray高級安全 JASSASTSECRETS DETECTIONIAC SECURITY ANALYSISCatalog&CurationRuntime 安全4.Demo&案例感謝聆聽JFrog 公眾號講師微信