💻較早收集於 12m

Chainguard 保障 AI 建置軟體信任

Chainguard 保障 AI 建置軟體信任
PostLinkedIn
💻閱讀原文: ZDNet AI

💡透過 Chainguard 新開放核心/GitHub 保護,保障 AI 程式碼與代理。(38字)

⚡ 30-Second TL;DR

有什麼變化

將安全從開源擴展至開放核心軟體。

為什麼重要

此舉讓 AI 從業人員能以較低供應鏈風險部署 AI 生成程式碼。它強化涉及 GitHub Actions 的 CI/CD 管道。總體而言,提升對 AI 輔助軟體開發的信心。

下一步行動

立即使用 Chainguard 在 GitHub Actions 中掃描您的 AI 代理技能。

誰應關注:Developers & AI Engineers

關鍵要點

  • 將安全從開源擴展至開放核心軟體。
  • 新增對 AI 代理技能的保護。
  • 保障 GitHub Actions 工作流程。
  • 針對 AI 建置軟體的信任問題。

🧠 深度解析

AI-generated analysis for this event.

🔑 增強重點摘要

  • Chainguard 引入了針對 AI 代理技能(AI Agent Skills)的數位簽章機制,利用 Sigstore 技術確保 AI 執行指令集的來源可信度,防止惡意代碼注入 AI 決策流。
  • 該擴展包含對「開放核心」(Open Core)商業軟體的支援,為企業提供經過 FIPS 認證且具備零漏洞(Zero-CVE)保證的商業版映像檔,填補了開源與閉源軟體間的安全鴻溝。
  • 針對 GitHub Actions 的新功能實現了自動化供應鏈證明,能在 CI/CD 過程中自動生成並驗證軟體清單(SBOM),確保 AI 生成的自動化腳本符合企業合規標準。
📊 競品分析▸ Show
特性ChainguardSnykAqua SecurityDocker Scout
核心優勢專注於 Wolfi OS 的零漏洞映像檔與簽章強大的開發者工具整合與漏洞掃描全面的雲原生應用保護平台 (CNAPP)深度整合 Docker 生態系統的供應鏈分析
AI 安全支援提供預先硬化的 AI 代理技能與模型簽章AI 輔助的代碼修復建議針對 AI 工作負載的運行時保護容器化 AI 模型的組件分析
定價模式按映像檔數量或企業訂閱計費按開發者人數或掃描次數計費企業級授權,基於節點或工作負載包含在 Docker 訂閱中,有免費層級
技術重點Wolfi (Linux Undistro), Sigstore靜態與動態應用安全測試 (SAST/DAST)容器安全、K8s 安全、合規性軟體清單 (SBOM) 管理與分析

🛠️ 技術深入

  • Wolfi OS 架構:採用「非發行版」(Undistro)設計,移除所有非必要組件以極大化減少攻擊面,專為容器化環境設計。
  • Sigstore 整合:利用無密鑰(Keyless)簽章技術,為 AI 代理的每一項技能與 GitHub Action 腳本提供不可篡改的身份證明。
  • 動態 SBOM 生成:在構建過程中即時產生 CycloneDX 或 SPDX 格式的軟體清單,包含 AI 模型權重與依賴項的雜湊值。
  • AI 技能沙箱化:透過 gVisor 或類似的輕量級虛擬化技術,為執行 AI 生成代碼的環境提供強隔離保護。

🔮 前景展望AI analysis grounded in cited sources

AI 代理安全將成為企業採購的強制性標準
隨著企業大規模部署 AI 代理,缺乏數位簽章與來源證明的 AI 技能將被視為高風險資產,迫使供應商採納類似 Chainguard 的信任框架。
軟體供應鏈攻擊將從代碼轉向 AI 訓練數據與模型權重
當代碼層面被硬化後,攻擊者將轉向污染 AI 的決策邏輯,這將推動市場對模型完整性驗證技術的迫切需求。

時間線

2021-10
Chainguard 由前 Google 工程師創立,專注於軟體供應鏈安全
2022-09
發佈 Wolfi,首個專為安全設計的 Linux Undistro
2023-11
完成 B 輪融資,估值大幅提升並擴展 Chainguard Images 產品線
2024-05
推出 Chainguard AI,旨在保障大型語言模型 (LLM) 應用的安全性
2025-08
公司達到獨角獸地位,並與主要雲端供應商達成深度整合協議
2026-03
正式將安全保護擴展至 AI 代理技能、開放核心軟體及 GitHub Actions
📰

AI 週報

閱讀本週精選 AI 大事摘要 →

👉相關動態

AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: ZDNet AI