- 65% компаний подверглись атакам на цепочки поставок в прошлом году
- Внедрение GenAI увеличивает риски; Только 24% анализируют сгенерированный ИИ код на предмет проблем безопасности или IP.
- Соблюдение требований и непрерывная автоматизация повышают скорость устранения нарушений и эффективность защиты.
Цепочка поставок программного обеспечения, целая сеть компонентов, инструментов и процессов, используемых для разработки, сборки и доставки программного обеспечения, стала новой, очень популярной поверхностью для атак, предоставляющей киберпреступникам возможность обойти стандартную защиту и получить непропорционально большую прибыль от одного взлома.
Об этом говорится в новом углубленном отчете «Навигация по рискам в цепочке поставок программного обеспечения в мире быстрых выпусков», опубликованном компанией Blackduck, занимающейся безопасностью приложений.
В отчете, основанном на опросе 540 руководителей по безопасности программного обеспечения, говорится, что две трети (65%) компаний подверглись как минимум одной атаке на цепочку поставок за последние 12 месяцев.
Соблюдение требований является ключевым моментом
Эти инциденты становятся все более разнообразными: организации сообщают о вредоносных зависимостях (30%), неисправленных уязвимостях (28%), эксплойтах нулевого дня (27%) и внедрениях вредоносного ПО в конвейеры сборки (14%).
Скорость, с которой генеративный искусственный интеллект (GenAI) внедряется в компаниях, только усугубляет ситуацию. По данным Blackduck, почти все (95%) компании сейчас используют инструменты искусственного интеллекта для разработки программного обеспечения (в основном ChatGPT), но протоколы безопасности отстают. Доверие к этому инструменту высоко, а фактическая проверка пугающе низка.
Фактически, только четверть (24%) организаций анализируют Код, сгенерированный искусственным интеллектом, для таких вещей, как IP, лицензирование, безопасность или риски качества. Это, как утверждается в отчете, оставляет много места для уязвимостей в цепочке поставок, включая внедрение интеллектуальной собственности, защищенной авторским правом, или раскрытие конфиденциальных ключей API.
Чтобы укрепить свою защиту, вам следует тщательно проверять соблюдение требований. Блэкдак утверждает, что, вопреки распространенному мнению, подход, ориентированный на соблюдение требований, на самом деле ускоряет время реагирования системы безопасности.
По-видимому, существует четкая связь между надежным контролем соответствия и скоростью исправления: 54% организаций, которые используют как минимум четыре типа контроля соответствия, реагируют значительно быстрее на критические уязвимости по сравнению с 45% общей популяции респондентов.
Более того, кажется, что автоматизация не подлежит обсуждению. Полагаться на регулярный ручной мониторинг, который в настоящее время делают около 36% респондентов, обычно считается неадекватным. В то же время организации с автоматизированным непрерывным мониторингом описываются как «гораздо более эффективные».
Лучшая антивирусная программа на любой бюджет
Следите за TechRadar в Новостях Google. И Добавьте нас в качестве предпочтительного источника чтобы получать новости, обзоры и мнения наших экспертов в своих лентах. Обязательно нажмите кнопку «Подписаться»!
И ты, конечно, тоже можешь Следите за TechRadar в TikTok за новостями, обзорами, распаковками в видео-форме и получайте от нас регулярные обновления WhatsApp к.
