Мы опросили более 1200 специалистов в области технологий со всего мира, в том числе более 300 вице-президентов и руководителей высшего звена, об их усилиях по использованию искусственного интеллекта и машинного обучения и обеспечению безопасности цепочки поставок программного обеспечения (SSC). В результате анализа обнаружился удивительный разрыв между тем, что, по мнению руководителей, происходит, и тем, что сообщают разработчики и инженеры.
Вот что мы узнали:
Загрузите отчет или продолжайте читать здесь, чтобы узнать больше.
Когда дело доходит до использования искусственного интеллекта и машинного обучения, 88% руководителей считают, что эта новая технология интегрируется в их процессы сканирования безопасности и устранения уязвимостей, но только 60% разработчиков сообщают об этом.
Исследование также выявило региональные различия.
Регион Азиатско-Тихоокеанского региона становится мировым лидером: 99% руководителей считают, что их организации интегрируют ИИ/МО в свои процессы безопасности. США следуют с небольшим отставанием (91%), быстрее продвигаясь в интеграции моделей машинного обучения в программные приложения, чем EMEA (82%), что может отражать конкурентное давление в США и/или менее склонный к риску климат в Европе, вызванный строгими правилами. .
Используете ли вы модели ML в программных приложениях?
Организациям необходимо уделять первоочередное внимание моделям машинного обучения и компонентам искусственного интеллекта, обеспечивая согласованность между руководителями и разработчиками в отношении этих задач. Более 90% руководителей сообщили, что их организации включают модели машинного обучения в свои программные приложения, однако только 63% разработчиков согласились с этим утверждением.
Есть ли у вас решения для обнаружения вредоносных пакетов с открытым исходным кодом?
Хотя 92% руководителей были уверены, что в их организациях имеются необходимые инструменты для выявления вредоносных пакетов с открытым исходным кодом, только 70% разработчиков разделяли это мнение. Это несоответствие указывает на различия в понимании проблем безопасности с открытым исходным кодом между двумя группами. Руководители, похоже, недооценили время, которое команды безопасности посвятили устранению уязвимостей и получению разрешений на новые пакеты или библиотеки.
Кроме того, руководители предполагали, что большая часть проверок кода была автоматизирована, чем предполагали разработчики.
Применяете ли вы сканирование безопасности на уровне кода и двоичном уровне?
Хотя две трети руководителей считали, что их организации проводят проверки безопасности на уровне кода или двоичных файлов, с этим согласились только 41% разработчиков. Руководители также указали на большее количество решений по обеспечению безопасности приложений, используемых в их организациях, по сравнению с отчетами разработчиков, что может свидетельствовать о том, что эти инструменты используются недостаточно.
Ликвидировать разрыв
Поскольку злоумышленники усиливают свое внимание к SSC, организации испытывают все большее давление с целью усилить свою защиту. Непрерывный рост экосистемы с открытым исходным кодом, а также быстрое развитие инструментов безопасности вынуждают руководителей искать более эффективные методы защиты процессов разработки программного обеспечения. Защита AI/ML — это не простое одношаговое решение. Первый шаг — получить четкое представление о том, как и где ИИ используется в вашей организации, а затем разработать стратегию защиты. Руководители служб безопасности и ИТ также должны обеспечить, чтобы все, от руководителей до разработчиков, понимали текущие риски и состояние безопасности компании, особенно в отношении использования искусственного интеллекта. Приняв упреждающий подход к соблюдению новых правил, обязательство защищать периметр, чтобы не допустить проникновения «плохих вещей», а также качество и безопасность моделей искусственного интеллекта, организации могут укрепить свою защиту, одновременно предоставляя своим разработчикам свободу для инноваций.