当前位置:首页 > 报告详情

A2--张鹏--AISecOps软件供应链管理实践.pdf

上传人: 张** 编号:181305 2024-08-01 32页 4.31MB

1、AISecOps 软件供应链管理实践张鹏JFrog 解决方案架构师张鹏JFrog 解决方案架构师专注于 DevSecOps 解决方案设计与实施,具有丰富研发和云服务经验,负责JFrog中国南区及港澳台区域业务,具有丰富的银行、证劵、科技等行业的DevSecOps 建设实践经验。目录01CONTENTS0203AI 时代的 DevSecOps 变革制品库的“多类型”&“大模型”管理实践制品库的“软件供应链安全”管理实践04Demo&案例1.AI 时代的 DevSecOps 变革JFrog 软件供应链管理平台Artifactory(30+制品管理,Huggingface)Xray(18+制品扫描)

2、Curation(OSS 引入管理)JFrog Advanced Security(SAST)Runtime Security(保持关注)关于JFrogJFrog二进制文件开发打包晋级分发部署运行引入代码变革:世界仍在 OSS 上运行?“我们正处于 AI 的起跑线上,每个行业都将被革命”“苹果或因 AI 取消了电动汽车计划”“DevSecOps 实践将为 AI/ML 开发和安全提供宝贵经验”观点&思考2.制品库的“多类型”&“大模型”管理实践FTP/SVNMaven 库NexusNPM 库NPMDocker 库HarborC#,.Net 库Nuget公有云私有云容器云开发团队开发团队开发团队开

3、发团队开发团队开发团队统一代码库统一持续集成1.研发团队使用多种私服账号构建速度慢3.测试团队版本信息不透明版本缺乏质量信息4.运维团队高可用性维护难从研发到生产传包慢2.安全团队漏洞发现难影响定位难“最早的问题是 FTP/SVN,最新的问题也是”上一代软件管理方式https:/huggingface.co/blog/introducing-private-hub通过与 ML/Data Sci 团队的数千次对话,有了对构建 ML 面临的最常见问题和挑战的独特视角:重复的工作、不良的反馈循环、跨团队协作的高摩擦、非标准流程和工具以及生产模型优化困难。我们不再提供 Private Hub 本地部署

4、。“类似于 Private Github、Private Dockerhub,也需要 Private Huggingface Hub”为什么需要 Private Huggingface Hubhttps:/ ML 效率问题AI/ML 与“传统”软件研发的异同使用 S3 存储桶这会让数据科学家自行命名每个上传,这通常会导致命名不一致、File_Name_Final_Final_Final 难题,甚至丢失文件。使用 GIT数据科学家和工程师只需在 Main 分支上堆叠 Commit,利益相关者可以看到以前的提交,但没有简单的方法可以知道他们每次提交会得到什么,因为名称只是一组随机字符。“基于 FT

5、P/SVN 的手工作坊又回来了”如今 AI/ML 模型版本管理的问题1.研发依赖管理(多地同步)多种语言包的管理能力,Maven、Docker、Python、Conda、Huggingface 模型上传下载2.大文件管理(本地上传下载)对比 FTP/S3 具有去重存储和上传,降低存储和传输成本,高可用,灵活权限管理和 API 集成单机制品库上传速度上限为 1000MB/s单机制品库下载速度为 880MB/s(客户端数量不足,理论能打满带宽)横向扩展制品库节点,可以倍数提高上传和下载速度3.E+制品分发(边缘就近下载)通过 Release Bundle 分片分发,GPG 签名保护下载权限分发制品

6、传输速度为 100MB/s(两地互联网带宽限制)ArtifactoryArtifactory“多类型”和“大模型”使用场景ArtifactoryArtifactory“多类型”管理Conan、Terraform、SwiftPython、Conda、Docker、HuggingfaceArtifactoryArtifactory“大模型”管理对比 FTP/S3-并发下载可打满 80-100%带宽ArtifactoryArtifactory 对比 FTP 传输的优势1.Artifactory 支持去重上传,降低存储成本。2.Artifactory 支持多线程

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
本文主要介绍了JFrog在AI时代的DevSecOps变革、制品库的多类型和大模型管理实践,以及制品库的软件供应链安全管理的实践。 JFrog的软件供应链管理平台包括Artifactory、Xray、Curation、Advanced Security和Runtime Security等工具,为AI/ML开发和安全提供宝贵经验。 制品库的多类型和大模型管理实践方面,JFrog支持多种语言包的管理能力,如Maven、Docker、Python、Conda、Huggingface模型上传下载。同时,JFrog的Artifactory具有去重存储和上传,降低存储和传输成本,支持多线程自动同步,支持去重传输,降低存储成本和传输成本,支持接口调用,和webhook响应,更适合和业务系统集成,支持高可用模式,可轻易水平扩容和灾备,支持多种类型对象存储,支持S3重定向下载等优势。 制品库的软件供应链安全管理的实践方面,JFrog实施了多种安全措施,如恶意软件扫描、pickle扫描和秘密扫描,开发了safetensors格式用于安全存储模型数据,对pickle模型进行扫描,但不会完全阻止或限制它们的下载,对PyTorch模型和Tensorflow Keras模型进行监控,标记了一个特别有趣的PyTorch模型,该模型由名为baller423的新用户上传,但已被删除。 本文还提到了JFrog与Qwak集成的完整AISecOps解决方案,以及JFrog与AWS SageMaker的集成。
"AI时代的DevSecOps如何变革?" "制品库的多类型和大模型管理实践" "如何保障AI/ML模型版本的安全?"
客服
商务合作
小程序
服务号
折叠