IDC 最近的一項(xiàng)調(diào)查數(shù)據(jù)顯示,軟件供應(yīng)鏈安全漏洞大幅增加,同比增幅高達(dá)241%。而令人驚訝的是,只有 30% 的受訪者認(rèn)為解決軟件供應(yīng)鏈中的漏洞是保障安全的當(dāng)務(wù)之急。
JFrog 大中華和日本地區(qū)總經(jīng)理董任遠(yuǎn)表示:“當(dāng)今軟件供應(yīng)鏈的復(fù)雜性帶來了前所未有的安全風(fēng)險。盡管企業(yè)管理層努力以適配的設(shè)備為一線團(tuán)隊(duì)賦能,但由于應(yīng)用工具繁雜、開源和ML模型審批流程冗長、審計(jì)和合規(guī)性檢查繁多,開發(fā)人員在提高效率和加快發(fā)展生產(chǎn)力方面舉步維艱。這種矛盾凸顯了企業(yè)亟需重新思考自身安全戰(zhàn)略,致力于更多地關(guān)注AI / ML組件,將管理層和執(zhí)行層建立緊密協(xié)作,從而有效保障其軟件供應(yīng)鏈的安全。”
JFrog 的最新報告揭示了安全部門主管和一線軟件團(tuán)隊(duì)之間在惡意開源軟件包檢測、AI / ML集成和代碼級安全掃描方面存在的多項(xiàng)差異,包括:
●92% 的高管稱其企業(yè)擁有檢測惡意開源軟件包的工具,而只有 70% 的開發(fā)人員同意這一說法。
●90% 以上的高管認(rèn)為其在軟件應(yīng)用程序中使用了ML模型,而只有 63% 的開發(fā)人員確認(rèn)了這一點(diǎn)。
●88% 的高管認(rèn)為AI / ML工具正被用于安全掃描和修復(fù)流程,但只有 60% 的 DevSecOps 團(tuán)隊(duì)表示他們正在使用這些工具。
●67% 的高管認(rèn)為代碼級安全掃描是定期進(jìn)行的,然而只有 41% 的開發(fā)人員確認(rèn)了這一點(diǎn)。
JFrog 的研究還深入探討了軟件供應(yīng)鏈安全性、認(rèn)知性和AI / ML技術(shù)應(yīng)用等方面在地區(qū)上的差異,其中:
●對安全解決方案的認(rèn)識:14%的歐洲、中東和非洲地區(qū)(EMEA)受訪者不知道有能夠識別惡意開源軟件包的工具,而相比之下,美國(9%)和亞洲(1%)的比例較低,凸顯了EMEA地區(qū)在安全戰(zhàn)略和運(yùn)營理解方面的嚴(yán)重脫節(jié)。
●AI / ML模型的應(yīng)用: EMEA地區(qū)僅有 82% 的受訪者表示使用了AI / ML模型,相比之下,美國和亞洲的這一比例分別為 91% 和 99%。這種差異可能表明歐洲的風(fēng)險規(guī)避環(huán)境受到了更加嚴(yán)格法規(guī)的影響,而在美國,對AI / ML技術(shù)的應(yīng)用速度更快。
京公網(wǎng)安備 11010502049343號