Szoftverellátási lánc biztonsági felmérés
A Lineaje felmérése szerint, amelyet az RSA Conference résztvevői körében végeztek, jelentős eltérés mutatkozik a szoftverellátási lánc biztonságával kapcsolatos önbizalom és a tényleges felkészültség között. Míg a válaszadók 32%-a állította, hogy képesek biztnságos szoftvert szállítani, 68% elismerte, hogy bizonytalan ebben, ami kritikus eltérést jelez az észlelés és a valóság között.
A globális szabályozások, mint az Egyesült Államok OMB M-22-18-as memorandum, az Executive Order 14028 és az EU Cyber Resilience Act, egyre nagyobb nyomást gyakorolnak a szervezetekre az SBOM (Software Bill of Materials) integrációja terén. Ennek ellenére a szakemberek 48%-a még mindig elmarad a megfelelőségi követelményektől, és 47%-uk még el sem kezdte az SBOM integrációját vagy csak az értékelési fázisban van. Az SBOM-ok megfelelő eszközök vagy kontextus nélküli kezelése komoly kihívást jelent, különösen az olyan nyílt forráskódú komponensek azonosítása és nyomon követése terén, amelyek rejtett sebezhetőségeket hordozhatnak. Egy harmaduk (34%) számolt be nehézségekről ezen a téren, ami a szervezeteket rejtett kockázatoknak teszi ki.
Az AI technológia előretörése új kihívásokat hoz a szoftverbiztonság terén. A válaszadók 38%-a csak a legsebezhetőbb területekre összpontosít, azonban az AI fejlődése miatt minden sebezhetőség potenciálisan kihasználhatóvá válik. Például a GPT-4 képes exploitokat írni az ismert sebezhetőségek 87%-ára, ami azt jelenti, hogy minden komponens támadási ponttá válhat. Emellett a biztonsági csapatok 29%-a még mindig nem rendelkezik megfelelő eszközökkel az SBOM-ok hatékony elemzéséhez, ami megnehezíti a fenyegetések prioritásának meghatározását és az automatikus válaszokat. Ennek eredményeként lassabb a felismerés és nagyobb az esély a rosszindulatú szereplők számára.
A válaszadók 88%-a úgy véli, hogy az AI jelentősen javíthatja a szoftverellátási lánc átláthatóságát és a fenyegetésekre adott válaszokat, új kockázatok is felmerülnek. A legfőbb aggodalmak közé tartozik az adatbiztonság és az adatvédelmi kockázatok (35%), valamint az AI által generált kódok és a vibe coding kockázatai (26%). Aggasztó, hogy a szakemberek 70%-a elismeri, hogy nincs, vagy nem biztos benne, hogy rendelkezik-e olyan tervvel, amely kezelni tudja azokat a sebezhetőségeket, amelyekhez még nem áll rendelkezésre javítás.