סגור
CORPORATE.890/100

מחקר של JFrog חושף חולשות באבטחת שרשרת האספקה של תוכנה ארגונית

הדו"ח חושף פערים משמעותיים בין תפיסות אבטחת התוכנה של מנהלים בכירים לבין התפיסות של צוותי הפיתוח ברחבי העולם, מה שמגביר את הפערים בזיהוי פרצות אבטחה וכן תיקון ושימוש סטנדרטי בטכנולוגיות בינה מלאכותית/למידת מכונה

JFrog (Nasdaq: FROG), ענקית התוכנה הישראלית, חשפה דו"ח חדש המגלה פערים בתפיסות של MLOps והאבטחה בין מנהלים לבין צוותי הנדסת התוכנה (מפתחים ושאר הצוותים הטכנולוגיים), מה שמגביר את הסיכון לתקיפות בתהליכי שרשרת אספקת תוכנה (SSC) ברחבי העולם.
ע"פ הנתונים האחרונים מסקר של IDC,ישנה עלייה חדה של 241% בפריצות אבטחה בשרשרת אספקת התוכנה שגוברות שנה אחר שנה. באופן מפתיע רק 30% מהמשיבים בסקר זיהו את הצורך לטפל בחולשות בשרשרת האספקה של התוכנה שלהם.
"המורכבות של שרשרת אספקת התוכנה בימינו מציבה סיכונים חסרי תקדים. למרות מאמצי ההנהלה לצייד את צוותי הנדסת התוכנה בכלים הנכונים, מפתחים מתקשים לייעל את תהליכי הפיתוח עקב ריבוי כלי אבטחה, תהליכי אישור ארוכים של תוכנות קוד פתוח, בדיקות אבטחה ועמידה בסטנדרטים רגולטורים", אומרת מורן אשכנזי, CISO & SVP ב- JFrog "פער זה מדגיש את הדחיפות בחישוב מחדש של אסטרטגיות אבטחת המידע של ארגונים, ההתמקדות ברכיבי AI/ML, והחשיבות של נקיטת גישה אחודה והוליסטית בין הצוותים השונים (security- engineering), על מנת לחזק את שרשראות אספקת התוכנה שלהם בצורה יעילה ובטוחה, בעזרת הטכנולוגיה המתאימה."
1 צפייה בגלריה
מורן אשכנזי, CISO & SVP ב- JFrog
מורן אשכנזי, CISO & SVP ב- JFrog
מורן אשכנזי, CISO & SVP ב- JFrog
(באדיבות: ג'ייפרוג)
הדו"ח החדש של JFrog חושף מספר פערים בין מנהלי אבטחה לצוותי פיתוח, לגבי איתור חבילות קוד פתוח זדוניות, שילוב בינה מלאכותית/למידת מכונה וסריקות אבטחה ברמת הקוד וביניהם:
גילוי חבילות קוד פתוח זדוניות: 92% מהמנהלים טוענים שיש בארגונים שלהם כלים לאיתור חבילות קוד פתוח זדוניות, בעוד שרק 70% מהמפתחים מסכימים עם קביעה זו.
שילוב בינה מלאכותית ולמידת מכונה: למעלה מ-90% מהמנהלים מאמינים שהם משתמשים במודלים של למידת מכונה ביישומי התוכנה שלהם, בעוד שרק 63% מהמפתחים מאשרים זאת. פער דומה קיים בכלים של בינה מלאכותית ולמידת מכונה לצרכי אבטחה.88% מהמנהלים מאמינים שכלי בינה מלאכותית/למידת מכונה משמשים לתהליכי סריקה ותיקון פרצות אבטחה, אולם רק 60% מצוותי DevSecOps דיווחו שהם באמת משתמשים בכלים אלו.
סריקות אבטחה ברמת הקוד: פערי התפיסה ניכרים גם בנהלי סריקות האבטחה, כאשר 67% מהמנהלים מאמינים שסריקות אבטחה ברמת הקוד מתבצעות באופן קבוע, אך רק 41% מהמפתחים מאשרים שזהו המצב.
בנוסף, המחקר של JFrog מתייחס לפערים בין אזורים שונים בעולם בהתייחס לאבטחת שרשרת האספקה של התוכנה. בין הממצאים:
מודעות לפתרונות אבטחה: 14% מהמשיבים מאירופה, המזרח התיכון ואפריקה לא היו מודעים לכלים לזיהוי חבילות קוד פתוח זדוניות, לעומת שיעורים נמוכים יותר בארה"ב (9%) ובאסיה (1%), מה שמדגיש פער מהותי בין אסטרטגיות האבטחה וההבנה ההנדסית בין האזורים השונים.
אימוץ מודלים של בינה מלאכותית/למידת מכונה: רק 82% מהמשיבים באירופה דיווחו על שימוש בדגמי בינה מלאכותית/למידת מכונה. לשם השוואה, בארה"ב נרשם שיעור של 91% ובאסיה 99%. פער זה עשוי להצביע על הסביבה האירופאית שמושפעת מתקנות מחמירות ורתיעה מסיכונים. לעומת הסביבה בארה"ב בה אנו רואים אימוץ מהיר יותר של טכנולוגיות בינה מלאכותית/למידת מכונה.