32% sigurnosnih stručnjaka smatra da mogu isporučiti softver bez ranjivosti uprkos rastućim prijetnjama i regulatornim zahtjevima, prema istraživanju kompanije Lineaje. U međuvremenu, 68% je realističnije, izražavajući nesigurnost u vezi sa postizanjem ovog gotovo nemogućeg cilja.
Primjena usklađenosti softvera varira među organizacijama
Dok regulative i smjernice za Softverske Liste Materijala (SBOM) postaju sve učestalije, primjena među organizacijama značajno varira. Neke organizacije nemaju dovoljno uvida, dok se druge suočavaju s nedostatkom alata i procesa.
Hitnost ovoga ne može se prenaglasiti, posebno s obzirom na to da se preko 90% savremenih kodnih baza oslanja na open-source zavisnosti, a 95% softverskih slabosti direktno se može pripisati ovom kodu.
Značajnih 34% ispitanika prijavilo je poteškoće u tačnom identifikovanju i praćenju open-source komponenti, što otkriva kritičnu slabu tačku u kojoj developeri i sigurnosni stručnjaci ostaju nesvjesni elemenata koje integrišu u svoje softverske lance snabdijevanja.
Nedavna ranjivost u easyjson open-source biblioteci, koja je povezana s ruskim developerima, najnoviji je incident koji naglašava značajne rizike povezane s oslanjanjem na open-source komponente.
Uprkos nedostatku uvida, istraživanje je pokazalo da 48% sigurnosnih stručnjaka zaostaje za globalnim SBOM regulativama, uključujući Memorandum M-22-18 Ureda za upravljanje i budžet SAD-a (OMB), Izvršnu naredbu 14028, i Akt o sajber otpornosti EU-a.
Nepoštovanje propisa organizacije izlaže značajnim novčanim kaznama, potencijalnim narušavanjima podataka i gubitku sigurnosno orijentisanih klijenata. 47% još nije započelo integraciju SBOM-a ili su tek u fazi procjene alata i praksi, iako zakonodavstvo potencijalno izlaže njihove organizacije pravnim i finansijskim posljedicama.
Sigurnosni timovi nemaju alate za analizu SBOM ranjivosti
Dodatno, 38% ispitanika je izjavilo da daju prioritet najranjivijim dijelovima unutar svojih aplikacija. Iako to na prvi pogled može djelovati pozitivno, to znači da ostavljaju tzv. manje ranjiva područja softverskog lanca snabdijevanja otvorenima za napade.
Uz napredak u AI tehnologiji, sve ranjivosti sada su potencijalno iskorištive. Na primjer, GPT-4 može napisati eksploatacijski kod za 87% poznatih ranjivosti. Bez potpunog uvida u sve zavisnosti softverskog lanca, mnoge organizacije vjerovatno potcjenjuju rizike.
Nažalost, 29% timova još uvijek nema alate i procese potrebne za analizu SBOM-a u pogledu ranjivosti. Bez mogućnosti povezivanja SBOM podataka s poznatim slabostima ili automatizacije prioritizacije rizika, organizacije se suočavaju s kašnjenjem u reakciji, čime se povećava prostor za iskorištavanje sigurnosnih propusta.
AI poboljšava uvid u sigurnost softverskog lanca snabdijevanja
88% ispitanika izjavilo je da AI ima potencijal da kritično ili značajno unaprijedi vidljivost sigurnosti softverskog lanca snabdijevanja. Na primjer, zabilježen je veliki porast interesa organizacija za korištenje AI-a u automatskom otklanjanju problema (auto-remediation). Spremnost za primjenu AI-a u osiguravanju koda podstaknuta je njegovom rastućom upotrebom od strane developera za pisanje koda.
Na pitanje koji su najhitniji i najrizičniji problemi koje AI danas donosi organizacijama, dva najčešća odgovora bila su: rizici po sigurnost podataka i privatnost (35%), te rizici vezani za AI generisanje koda i tzv. vibe coding (26%). To je razumljivo, s obzirom da ove prakse značajno povećavaju površinu napada u softverskom lancu snabdijevanja.
AI automatsko otklanjanje problema je odlično sredstvo za borbu protiv ovih povećanih rizika, ali je ograničeno na ranjivosti za koje rješenja već postoje. 70% ispitanika priznalo je da, kada rješenje nije dostupno, ili nemaju plan otklanjanja problema ili nisu sigurni da li ga imaju.
„Ohrabruje činjenica da su sigurnosni stručnjaci sve svjesniji pokretača sigurnosti u kontekstu AI inovacija, rizika od open-source koda i rastućih regulativa“, rekao je Javed Hasan, direktor kompanije Lineaje. „Međutim, izgradnja sigurnije digitalne infrastrukture zahtijeva više akcije u skladu s ovom sviješću. Organizacije moraju koristiti sveobuhvatna rješenja koja omogućavaju uvid u sav kod i popravljaju ga brzinom digitalnih transformacija – kako bi timovi mogli inovirati umjesto da stalno nadoknađuju zaostatke.“
Izvor:Help Net Security
