Encuestamos a más de 1200 profesionales de tecnología de todo el mundo, incluidos más de 300 vicepresidentes y ejecutivos de nivel C, sobre su uso de IA/ML y sus esfuerzos de seguridad de la cadena de suministro de software (SSC). Tras el análisis, surgió una brecha sorprendente entre lo que los ejecutivos creen que está sucediendo y lo que los desarrolladores e ingenieros informan que está sucediendo.
Esto es lo que descubrimos:
Descargue el informe o siga leyendo aquí para obtener más información.
Cuando se trata del uso de IA/ML, el 88 % de los ejecutivos cree que esta nueva tecnología se está integrando en sus procesos de escaneo de seguridad y corrección de vulnerabilidades, pero solo el 60 % de los desarrolladores informa que ese es el caso.
El estudio también destacó las variaciones regionales.
La región APAC emerge como líder global, con el 99% de los ejecutivos creyendo que su organización integra AI/ML en sus procesos de seguridad. Estados Unidos le sigue de cerca con un 91 %, avanzando más rápidamente en la integración de modelos de aprendizaje automático en aplicaciones de software que EMEA (82 %), lo que podría reflejar presiones competitivas en los EE. UU. y/o un clima más reacio al riesgo en Europa causado por regulaciones estrictas. .
¿Utiliza modelos ML en aplicaciones de software?
Las organizaciones deben priorizar su enfoque en los modelos de ML y los componentes de IA, asegurando que exista alineación entre ejecutivos y desarrolladores con respecto a estas tareas. Más del 90 % de los ejecutivos informaron que sus organizaciones incorporan modelos de aprendizaje automático en sus aplicaciones de software, pero solo el 63 % de los desarrolladores estuvo de acuerdo con esta afirmación.
¿Tiene soluciones para detectar paquetes maliciosos de código abierto?
Si bien el 92 % de los ejecutivos confiaba en que sus organizaciones contaban con las herramientas necesarias para identificar paquetes maliciosos de código abierto, sólo el 70 % de los desarrolladores compartía esta creencia. Esta discrepancia indica una variación en la comprensión de los desafíos de seguridad del código abierto entre los dos grupos. Los ejecutivos parecieron subestimar el tiempo que los equipos de seguridad dedicaban a corregir vulnerabilidades y obtener aprobaciones para nuevos paquetes o bibliotecas.
Además, los ejecutivos asumieron que una mayor proporción de revisiones de código estaban automatizadas de lo que percibían los desarrolladores.
¿Aplica análisis de seguridad a nivel de código y binario?
Mientras que dos tercios de los ejecutivos creían que sus organizaciones realizaban análisis de seguridad a nivel de código o binario, sólo el 41% de los desarrolladores coincidía. Los ejecutivos también indicaron que se utiliza un mayor número de soluciones de seguridad de aplicaciones dentro de sus organizaciones en comparación con los informes de los desarrolladores, lo que puede sugerir que estas herramientas están infrautilizadas.
Cubre la brecha
A medida que los actores maliciosos intensifican su atención en las SSC, las organizaciones se ven sometidas a una presión cada vez mayor para fortalecer sus defensas. El crecimiento continuo del ecosistema de código abierto, junto con la rápida evolución de las herramientas de seguridad, obliga a los ejecutivos a buscar métodos más eficaces para salvaguardar sus procesos de desarrollo de software. Proteger la IA/ML no es una solución sencilla de un solo paso. El primer paso es obtener una comprensión sólida de cómo y dónde se aprovecha la IA dentro de su organización y luego diseñar una estrategia de protección. Los líderes de seguridad y TI también deben garantizar que todos, desde ejecutivos hasta desarrolladores, comprendan el riesgo actual y la postura de seguridad de la empresa, particularmente en torno al uso de la IA. Al adoptar un enfoque proactivo para cumplir con las nuevas regulaciones, el compromiso de proteger el perímetro para evitar que entren "cosas malas", además de la calidad y seguridad del modelo de IA, las organizaciones pueden reforzar sus defensas y al mismo tiempo brindar a sus desarrolladores la libertad de innovar.