Мы опросили более 1200 специалистов в области технологий со всего мира, в том числе более 300 вице-президентов и руководителей высшего звена, об их усилиях по использованию искусственного интеллекта и машинного обучения и обеспечению безопасности цепочки поставок программного обеспечения (SSC). В результате анализа обнаружился удивительный разрыв между тем, что, по мнению руководителей, происходит, и тем, что сообщают разработчики и инженеры. Вот что мы узнали: 88% руководителей и только 60% разработчиков говорят, что инструменты AI/ML интегрированы в их процессы сканирования и устранения проблем безопасности. 90% руководителей и только 63% разработчиков говорят, что их организация использует модели машинного обучения в наших программных приложениях. 92% руководителей и только 70% разработчиков говорят, что у них есть решения для обнаружения вредоносных пакетов с открытым исходным кодом. 66% руководителей и только 41% разработчиков говорят, что применяют сканирование безопасности на уровне кода и двоичных файлов. или продолжайте читать здесь, чтобы узнать больше. Загрузите отчет Когда дело доходит до использования искусственного интеллекта и машинного обучения, 88% руководителей считают, что эта новая технология интегрируется в их процессы сканирования безопасности и устранения уязвимостей, но только 60% разработчиков сообщают об этом. Исследование также выявило региональные различия. Регион Азиатско-Тихоокеанского региона становится мировым лидером: 99% руководителей считают, что их организации интегрируют ИИ/МО в свои процессы безопасности. США следуют с небольшим отставанием (91%), быстрее продвигаясь в интеграции моделей машинного обучения в программные приложения, чем EMEA (82%), что может отражать конкурентное давление в США и/или менее склонный к риску климат в Европе, вызванный строгими правилами. . Используете ли вы модели ML в программных приложениях? Организациям необходимо уделять первоочередное внимание моделям машинного обучения и компонентам искусственного интеллекта, обеспечивая согласованность между руководителями и разработчиками в отношении этих задач. Более 90% руководителей сообщили, что их организации включают модели машинного обучения в свои программные приложения, однако только 63% разработчиков согласились с этим утверждением. Есть ли у вас решения для обнаружения вредоносных пакетов с открытым исходным кодом? Хотя 92% руководителей были уверены, что в их организациях имеются необходимые инструменты для выявления вредоносных пакетов с открытым исходным кодом, только 70% разработчиков разделяли это мнение. Это несоответствие указывает на различия в понимании проблем безопасности с открытым исходным кодом между двумя группами. Руководители, похоже, недооценили время, которое команды безопасности посвятили устранению уязвимостей и получению разрешений на новые пакеты или библиотеки. Кроме того, руководители предполагали, что большая часть проверок кода была автоматизирована, чем предполагали разработчики. Применяете ли вы сканирование безопасности на уровне кода и двоичном уровне? Хотя две трети руководителей считали, что их организации проводят проверки безопасности на уровне кода или двоичных файлов, с этим согласились только 41% разработчиков. Руководители также указали на большее количество решений по обеспечению безопасности приложений, используемых в их организациях, по сравнению с отчетами разработчиков, что может свидетельствовать о том, что эти инструменты используются недостаточно. Ликвидировать разрыв Поскольку злоумышленники усиливают свое внимание к SSC, организации испытывают все большее давление с целью усилить свою защиту. Непрерывный рост экосистемы с открытым исходным кодом, а также быстрое развитие инструментов безопасности вынуждают руководителей искать более эффективные методы защиты процессов разработки программного обеспечения. Защита AI/ML — это не простое одношаговое решение. Первый шаг — получить четкое представление о том, как и где ИИ используется в вашей организации, а затем разработать стратегию защиты. Руководители служб безопасности и ИТ также должны обеспечить, чтобы все, от руководителей до разработчиков, понимали текущие риски и состояние безопасности компании, особенно в отношении использования искусственного интеллекта. Приняв упреждающий подход к соблюдению новых правил, обязательство защищать периметр, чтобы не допустить проникновения «плохих вещей», а также качество и безопасность моделей искусственного интеллекта, организации могут укрепить свою защиту, одновременно предоставляя своим разработчикам свободу для инноваций.
