Lineaaje’ye göre, güvenlik uzmanlarının% 32’si artan tehditlere ve uyumluluk düzenlemelerine rağmen sıfır oylama yazılımı sağlayabileceklerini düşünüyor. Bu arada,% 68’i daha gerçekçi, bu neredeyse imkansız sonuca ulaşma konusunda belirsiz olduklarını belirtiyor.
Yazılım uyumluluğu benimseme kuruluşlar arasında değişir
Yazılım Malzeme Yasası (SBOM) düzenlemeleri ve yönergeleri artmaya devam ederken, kuruluşlar evlat edinme düzeylerine göre değişmektedir. Özellikle, bazı kuruluşların yeterli görünürlüğü yoktur, diğerleri yetersiz araç ve süreçlerle mücadele etmektedir.
Özellikle modern kod tabanlarının% 90’ından fazlasının açık kaynaklı bağımlılıklar üzerine inşa edildiği ve yazılım zayıf yönlerinin% 95’inin doğrudan bu koda atfedilebileceği göz önüne alındığında, bunun aciliyeti abartılamaz.
% 34’ü, açık kaynaklı bileşenlerin doğru bir şekilde tanımlanması ve izlenmesinde zorluk bildirmiştir, bu da geliştiricilerin ve güvenlik profesyonellerinin yazılım tedarik zincirlerine entegre ettikleri unsurlardan habersiz kaldıkları kritik bir kör nokta ortaya çıkarmıştır.
Rus geliştiricilere kadar izlenen son EasyJson açık kaynaklı güvenlik açığı, açık kaynaklı bileşenlere güvenmesinin doğasında var olan önemli riskleri vurgulayan son olaydır.
Görünürlük eksikliğine rağmen, anket, güvenlik uzmanlarının% 48’inin ABD Yönetim ve Bütçe Ofisi (OMB) Memo M-22-18, Yürütme Emri 14028 ve AB Siber Dayanıklılık Yasası dahil olmak üzere küresel SBOM uyumluluk düzenlemelerinin gerisinde kaldığını buldu.
Uyum eksikliği, kuruluşları önemli para cezalarına, potansiyel veri ihlallerine ve güvenlik odaklı müşteri beklentilerini incitir. % 47’si SBOM entegrasyonuna başlamamıştır veya kuruluşlarını potansiyel olarak yasal ve finansal cezalara açmaya rağmen, şu anda araç ve uygulamaları değerlendirmektedir.
Güvenlik ekipleri SBOM güvenlik açıklarını analiz etmek için araçlardan yoksun
Buna ek olarak, katılımcıların% 38’i uygulamaları içindeki en savunmasız alanlara öncelik verdiklerini belirtmiştir. Bu ilk başta pozitif görünse de, bu, yazılım tedarik zinciri içindeki sözde daha az savunmasız alanları saldırıya açık bıraktıkları anlamına gelir.
Yapay zekadaki gelişmelerle birlikte, tüm güvenlik açıkları artık kullanılabilir. Örneğin, GPT4 bilinen güvenlik açıklarının% 87’si için istismar yazabilir. Tüm yazılım tedarik zincirlerinin bağımlılıklarına tam görünürlük olmadan, birçok kuruluş muhtemelen riskleri hafife almaktadır.
Ne yazık ki, ekiplerin% 29’u hala güvenlik açıkları için SBOM’ları analiz etmek için gereken araç ve süreçlerden yoksundur. SBOM verilerini bilinen zayıflıklarla ilişkilendirme veya risk önceliklendirmesini otomatikleştirme yeteneği olmadan, kuruluşlar gecikmiş tehdit süreleri ile karşı karşıya kalır ve saldırganların güvenlik zayıflıklarından yararlanmaları için fırsat penceresini genişletir.
AI yazılım tedarik zinciri güvenlik görünürlüğünü geliştirir
Katılımcıların% 88’i AI’nın yazılım tedarik zinciri güvenliği görünürlüğünü eleştirel veya önemli ölçüde artırma potansiyeline sahip olduğunu bildirmiştir. Örneğin, organizasyonların AI kullanma arzusunda otomatik yeniden eğitim için büyük bir artış gördük. Kodu güvence altına almak için AI benimsemeye hazır olma, geliştiriciler tarafından kod oluşturmak için AI’nın benimsenmesi ile yönlendirilir.
AI’nın bugün kuruluşlar için yarattığı en acil veya yüksek riskli sorunların ne olduğu sorulduğunda, ilk iki yanıt veri güvenliği ve gizlilik riskleri (%35) ve AI kodu oluşturma ve vibe kodlama riskleri (%26) idi. Bu, AI kodu üretimi ve vibe kodlaması gibi uygulamalar göz önüne alındığında, yazılım tedarik zinciri saldırısı yüzeyini önemli ölçüde artırır.
Yapay zeka ile çalışan otomatik yeniden eğitim, bu artan riskle mücadelede harika bir araçtır, ancak düzeltmelerin mevcut olduğu güvenlik açıklarıyla sınırlıdır. Katılımcıların% 70’i bir güvenlik açığı için bir düzeltme mevcut olmadığında, bir iyileştirme planı olup olmadıklarından emin olmadıklarını veya emin olmadıklarını itiraf ettiler.
LineaJe CEO’su Javed Hasan, “Güvenlik uzmanlarının AI yenilikleri, açık kaynak riskleri ve artan düzenlemeler etrafındaki güvenlik sürücülerinin daha fazla farkında olduklarını belirtmek canlandırıcı” dedi. “Bununla birlikte, daha güvenli dijital altyapı kullanmak, bu farkındalığa bağlı daha fazla eylem gerektirir. Kuruluşlar, tüm kodlara görünürlük sağlayabilecek bütünsel çözümlerden yararlanmalı ve bunları dijital dönüşümlerin hızında düzeltmelidir-böylece takımlar yakalama yerine yenilik yapabilirler.”