李威-大模型时代软件供应链的效率与安全管理实践-.pdf

《李威-大模型时代软件供应链的效率与安全管理实践-.pdf》由会员分享，可在线阅读，更多相关《李威-大模型时代软件供应链的效率与安全管理实践-.pdf（39页珍藏版）》请在三个皮匠报告上搜索。

1、大模型时代软件供应链的效率与安全管理实践李威 JFrog目 录CONTENTS1.MLOps中软件供应链的管理痛点2.MLOps中软件供应链的引入与管理最佳实践3.大模型版本管理与治理最佳实践4.大模型安全风险治理5.未来展望软件供应链管理痛点PART 01AI的风险幻觉偏见恶意软件数据投毒版权恶意网址越狱间接提示注入恶意指令私人信息伪造来源数据科学家成为攻击目标JFrog 安全研究团队开发了扫描环境，每天多次严格检查上传到 Huggingface 的每个新模型https:/ 与传统软件研发的异同BuildDeployDataModelDeployData Scientist定义、标注和组织训

2、练数据Research Engineer开发模型算法，训练并分析模型DevOps实施、部署、监控和维护机器学习模型开发应用程序开发 ML ModelsSoftware Engineer编写和调试应用程序DevOps Engineer管理自动化以构建和部署Operations Engineer部署、监控和维护Code如今 AI/ML 模型版本管理的问题使用 S3 存储桶这会让数据科学家自行命名每个上传，这通常会导致命名不一致、File_Name_Final_Final_Final 难题，甚至丢失文件。重复存储，占用大量空间使用 Git数据科学家和工程师只需在 Main 分支上堆叠 Commit，

3、利益相关者可以看到以前的提交，但没有简单的方法可以知道他们每次提交会得到什么，因为名称只是一组随机字符。“基于 FTP/SVN 的手工作坊又回来了”软件供应链的引入与管理最佳实践PART 02Model is a Package！Model是基于算法训练数据生成的二进制文件，用于根据新数据进行推理。AI软件供应链的单一可信源AI团队使用 Artifactory 缓存和管理来自 PyPI、Pytorch 的包AI团队使用Docker或者OCI来管理ML的运行环境管理ML模型和其他制品的方式一样简单，仅需在现有流程上扩展一个包管理工具，流程可复用AI团队使用 Artifactory 缓存和管理 H

4、elm ChartsJFROG 模型管理lHugging Face 代理/缓存lHugging Face 本地模型存储lModels 和 Datasetsl开源协议扫描l恶意模型扫描l标准化 MLOpsl单一可信源DataTuningProduction or InferenceRemote RepoLocal RepoHugging FaceFine Tuned Models大模型版本管理与治理最佳实践PART 03AI/ML 模型版本管理1.更好的存储和性能，替换 FTP/S32.模型管理版本化3.元数据可视化4.存储空间可清理5.易于分享模型6.晋级模型，而无额外存储成本7.同步模型到生

5、产环境，而无额外网络成本8.模型安全扫描https:/ ModelModel原始信息训练数据集信息嵌式软件包匹配设备型号目标客户信息分发同步信息与MLFlow 集成删除实验后，一旦 MLflow 的垃圾收集器运行，它也会默认从其相应的 JFrog Artifactory 存储库中删除。也可以配置永久保留。此功能可有效管理您的存储资源。JFrog AISecOps 与Qwak集成JFrog 与 Qwak 集成的完整 AISecOps解决方案，可实现团队之间的无缝交叉协作。1.将所有模型、制品集中在唯一可信源中2.减少外部服务中断或消除公共存储库中模型或包版本的潜在风险3.管理和限制对外部私有或公

6、共存储库的访问，确保用户只能使用经过批准的源4.为利益相关者提供有关公司内部使用的内容的全面透明度并发下载可打满 80-100%带宽多研发中心Model管理NASMysql海外多地镜像联邦仓库Conda-locaPypi-localHuggingface-locaDocker-localGeneric-locaS3MysqlDCConda-locaPypi-localHuggingface-locaDocker-localGeneric-locaS3Mysql云Conda-locaPypi-localHuggingface-locaDocker-localGeneric-loca多地镜像联邦仓

7、库l Model就近下载l 异地多活l 计算卡在云上l 海外计算大模型安全风险治理PART 04Model也有安全风险？攻击者正在针对公共机器学习库进行攻击，以渗透到组织内部。JFrog对Models风险的调研480k+公共机器学习库中扫描包的数量60+models 有恶意攻击行为10+models中包含与操作系统无关的反向Shell恶意软件！JFrog 对机器学习库进行安全监控PyTorch 模型（大幅）和 Tensorflow Keras 模型（H5 或 SavedModel 格式）构成执行恶意代码的最高潜在风险，因为它们是流行的模型类型，具有已发布的已知代码执行技术。PyTorch 模型

8、的流行率最高，紧随其后的是 Tensorflow Keras 模型。需要强调的是，当我们提到“恶意模型”时，我们特指那些包含真实、有害有效负载的模型。恶意模型l在蜜罐中运行模型l发现多个外部的IP连接l目前还没有看到攻击者发送哪些指令l预测是一个长期的钓鱼项目加载 ML 模型如何导致代码执行？某些模型使用“pickle”格式，这是序列化 Python 对象的常见格式。但是，pickle 文件还可以包含加载文件时执行的任意代码。虽然这个问题被Huggingface发现，并开发了一种用于安全存储模型数据的新格式，称为 safetensors，但并没有对pickle类型采取禁止策略Model可以安全

9、使用么？漏洞?恶意攻击?开源许可?维护信息?Curation 隔离仓库隔离阻断高危漏洞开源组件漏洞包无法进入内网内网JFrog仓库连接到隔离区的 JFrog Curation 隔离仓库持续漏洞扫描对开源软件包下载的全面监管AI供应链防火墙JFrog Curation&ArtifactoryADMIN?CreatePackagePromoteDistribute阻断恶意Model 全面的二进制扫描，检测嵌入的恶意代码 对被阻止的模型进行全面审计 左移策略-有问题的Model绝不会进入内部库Code hidden in the binary“data”JFrog对Model及其他软件供应链进行安全

10、监控30功能特性SCA：漏洞扫描及开源协议扫描提供漏洞修复建议及JFrog调研跨技术栈影响性分析能力与仓库集成，提供单一可信源JFrog Research集成全球最完整的商业漏洞数据库VulnDBNVD、Ubuntu、Debian、Redhat等漏洞库JFrog Xray 提供全生命中周期扫描能力，包括安全左移、构建扫描、交付物扫描、本地按需扫描等。扫描看板扫描报告、SBOM报告IDE、代码库、构建工具插件基于风险及合规信息阻断包下载Xray DB易用性JFrog 能帮开发者节省多少时间？每年用于修复错误的软件包的总小时数485,143每年使用 JFrog Curation 修复软件包的总小时

11、数35,960每年节省的总小时数449,183研发人数：2850 人未来展望PART 05JFrog|Qwak 一体化ML管理平台Build,Train,Secure,Serve,and Monitor ML Models and GenAI in a Unified Experience软件供应链单一可信源没有统一管理，就无法治理。软件供应链仓库操作系统软件供应链（yum、apt）开发语言依赖组件供应链（开发语言私服）容器供应链（镜像及helm chart）AI供应链（Model、pypi、conda、Docker）传统制品（tar、zip）企业单一可信制品库是软件供应链仓库，也是企业软件资

12、产仓库。低维护成本、高可用、高性能的仓库JFrog|GitHub 深度集成，以AI驱动安全开发CurationIDE ExtensionsIssuesGitHubSource ControlArtifactoryBinary ManagementBinary SecurityActions+DistributionCode SpacesCode SecurityActionsCatalogCopilotAKS+Runtime SecurityAzure ServerlessAdmission ControlContinuous Scanning Container AnalysisAPIJFrog MLSecOps 解决方案Model/LLM Training&Fine TuningTHANKS 谢谢观看JFrog 官方网站：JFrog 咨询热线：010-82023518