Geçtiğimiz yıl, küresel kuruluşların önemli bir kısmı (%54) yazılım tedarik zinciri saldırılarına maruz kaldı ve birçoğu artan risk ortamına uyum sağlamakta zorlandı. Bu bulgular, Synopsys’in Ponemon Enstitüsü işbirliğiyle bugün yayınladığı ‘Yazılım Tedarik Zinciri Güvenliği Riskinin Durumu’ raporundan kaynaklanıyor. Rapor, kuruluşların yarısının bu tür saldırılara yanıt vermesinin bir aydan uzun sürdüğünü ve beşte birinin tespit ve yanıt yeteneklerinin etkisiz olduğunu kabul ettiğini vurguluyor.
Ayrıca rapor, yapay zekanın yazılım geliştirme yaşam döngüsü boyunca yaygın entegrasyonunun altını çiziyor. Güvenlik profesyonellerinin çoğunluğu (%52), geliştirme ekipleri içinde OpenAI Codex (%50), ChatGPT (%45) ve GitHub Copilot (%43) dahil olmak üzere yapay zeka araçlarının kullanıldığını bildiriyor. Ancak yapay zeka destekli otomasyonun sağladığı verimlilik kazanımlarına rağmen yeterli koruma önlemlerinin bulunmaması nedeniyle endişeler ortaya çıkıyor. Kuruluşların yalnızca %32’si, yapay zeka tarafından oluşturulan kodu lisanslama, güvenlik ve kaliteyle ilgili potansiyel riskler açısından değerlendirmek üzere prosedürler oluşturmuştur.
Ankete katılanlar ayrıca karar vericilerin bu zorlukların üstesinden gelme konusundaki kararlılığının yetersiz olduğu yönündeki endişelerini de dile getirdiler. Yalnızca %39’u, yazılım tedarik zincirlerinde kötü amaçlı yazılım risklerini azaltmaya yönelik güçlü bir liderlik kararlılığına sahip olduğunu belirtirken, %45’i SolarWinds ihlali gibi yüksek profilli olayların ardından yatırımda bir artış olduğunu belirtti. Üstelik yalnızca %38’i tedarik zinciri güvenliğine ayrılan mevcut kaynakların yeterli olduğunu düşünüyor.
Synopsys Software Integrity Group genel müdürü Jason Schmitt şunları söyledi: “Tedarik zinciri saldırıları küresel çapta kuruluşlar genelinde daha yaygın hale geliyor, ancak bu rapor mevcut yazılım geliştirme süreçlerinde ve güvenlik standartlarında devam eden zayıflıkları vurguluyor.” “Saldırganlar daha sofistike hale geliyor ve böylece hassas verileri çalabilecekleri, kötü amaçlı yazılım yerleştirebilecekleri ve kontrol sistemlerini kurabilecekleri bir tedarik zincirini keşfetmelerine olanak tanıyan daha fazla zayıf nokta buluyorlar. Özellikle yapay zeka tarafından oluşturulan kodun yükselişiyle birlikte, güvenlik ekiplerinin uygulamalara ilişkin görünürlüğü sürdürmesi ve riski azaltmak için IP’yi, güvenlik tehditlerini ve kod kalitesini sürekli olarak değerlendirmesi gerekiyor.”
Rapordaki önemli bulgular ayrıca şunları vurgulamaktadır:
- Tedarik zinciri güvenliğini sağlamak için kritik olan Yazılım Malzeme Listelerinin (SBOM’ler) sınırlı düzeyde benimsenmesi ve kuruluşların yalnızca %35’inin bunları üretmesi.
- Açık kaynak güvenlik açıkları önemli bir endişe kaynağı olmaya devam ediyor; yanıt verenlerin %65’i açık kaynak yazılım kullanıyor, ancak yarısından azı (%47) güvenlik önlemlerinin tedarik zincirinde güvenliği sağlamada oldukça etkili olduğunu düşünüyor.
Daha fazla bilgi edinmek için bir kopyasını indirin “Yazılım Tedarik Zinciri Güvenliği Risklerinin Durumu” raporuokumak Blog yazısı veya kayıt olun 23 Mayıs web semineri.