Исследование компании Blackduck выявило, что 65% организаций столкнулись с атаками на цепочку поставок программного обеспечения за последние 12 месяцев.
Как защитить программное обеспечение от атак на цепочке поставок
Типы угроз и уязвимости
Среди распространённых инцидентов оказались вредоносные зависимости (30%), неустранённые уязвимости (28%), атаки нулевого дня (27%) и внедрение вредоносного ПО в конвейеры сборки (14%). Такие атаки позволяют злоумышленникам легко обходить стандартные меры защиты.
Роль искусственного интеллекта
Быстрое внедрение генеративного ИИ, такого как ChatGPT, увеличивает риски. 95% компаний используют ИИ для разработки ПО, но только 24% анализируют сгенерированный код на наличие проблем с интеллектуальной собственностью или безопасностью.
Рекомендации по усилению обороны
Компания Blackduck настоятельно рекомендует подход с акцентом на соответствие требованиям: компании, использующие не менее четырёх различных типов контроля, быстрее реагируют на критические уязвимости. Автоматизация и непрерывный мониторинг показали себя гораздо эффективнее, чем периодическая ручная проверка, которую производят около 36% опрошенных компаний.
Таким образом, предприятиям следует обратить внимание на важность механизации процессов и тщательного анализа ИИ-кода для обеспечения надёжной защиты их программных решений.
