12月6日消息,一家软件供应链平台厂商公布了新一批平台能力,重点覆盖软件发布质量、安全、MLOps 与完整性管理。此次升级面向从开发到生产的整个软件生命周期,在各个环节强化二进制层面的安全控制,以提升应用的可追溯性、稳定性、合规性与整体安全性。
该公司表示,平台长期围绕 DevOps 与安全一体化持续投入,目标是通过自动化的 DevSecOps 流程,应对不断演变的软件供应链威胁。此次新增能力在原有开源组件治理、机密检测、基础设施即代码安全以及软件包创建管理等基础上,进一步扩展到 AI 与 MLOps 安全、模型缓存与保护等场景。
本次更新的核心能力
为了满足企业对自动化、全面安全和“左移”实践的需求,平台新增了多项功能:
- AI 与机器学习模型安全:新增的 ML 模型管理能力可对机器学习模型进行快速扫描,识别潜在恶意模型,并在必要时阻止其被使用。同时,系统还可检查许可证是否符合企业策略,帮助团队更安全地引入 AI 能力。目前该功能测试版已向云端用户开放。
- 静态应用安全测试(SAST):可与多种开发环境集成,对源代码进行快速且准确的漏洞扫描,特别是有助于发现高风险问题。借助上下文分析,还能减少误报,并帮助开发团队更清晰地确定修复优先级。
- 开源软件目录:作为开源组件治理能力的一部分,平台在界面和 API 中提供软件包搜索能力,结合公开数据与平台自身数据,为用户展示开源软件包对应的安全信息与风险元数据,方便更快做出选型与使用判断。
随着软件供应链攻击持续增加,围绕二进制制品建立不可变的发布机制,正在成为提升安全可信度的重要方式。平台方认为,只有对发布的软件包进行严格控制和可验证管理,企业才能更有效地证明交付物具备安全使用条件。
围绕二进制制品的持续安全能力
平台强调,其各项能力由专门的安全工程与研究团队持续支持,这些团队会长期跟踪、分析并披露新的漏洞与攻击方式。此次新增功能也是建立在既有安全产品基础上的进一步扩展,目的是在软件开发与交付的不同阶段,对二进制制品提供自动化、持续性的保护。
- 开源组件治理:通过新增的开源软件目录,帮助企业在开发早期识别并阻止恶意或存在漏洞的软件包进入环境。
- 部署前风险检测:可在交付前主动识别存在风险的软件包,降低问题进入生产环境的概率。
- 生产后的漏洞与密钥评估:结合上下文分析能力,在软件进入生产后快速评估关键漏洞与敏感密钥暴露情况,帮助团队及时修复。
同步发布的 DevOps 功能更新
除安全能力外,平台还公布了多项与 DevOps 和 AI 交付相关的新功能:
- Hugging Face 本地仓库支持:通过与常见 AI 模型仓库的原生连接,Python 开发者和数据科学团队可以更方便地代理和缓存所依赖的开源模型,减少因模型被删除或修改而带来的风险。
- ML 模型管理:让 AI 模型开发流程能够与企业现有的软件交付体系保持一致,从而更高效地推进机器学习组件的持续交付与管理。
- 发布生命周期管理(RLM):在软件开发早期生成不可更改的发布包,明确软件包及其构成组件,为每个应用建立统一可信的发布来源。该能力还结合防篡改机制、合规检查和证据留存,在开发各阶段持续收集发布数据与洞察,提升构建质量透明度,并便于在 DevOps、IT 与安全团队之间共享。
整体来看,这次平台升级进一步强化了从代码、组件、模型到发布包的全链路治理思路。对于希望提升软件供应链安全、加快交付效率并兼顾 AI 应用落地的企业而言,这类端到端平台能力的整合价值正在不断上升。
