Dünyanın dört bir yanından 300'den fazla VP ve C seviyesi yönetici de dahil olmak üzere 1.200'den fazla teknoloji profesyonelini AI/ML kullanımı ve yazılım tedarik zinciri (SSC) güvenlik çabaları konusunda anket yaptık. Analiz sonucunda, yöneticilerin olduğuna inandıkları ile geliştiricilerin ve mühendislerin olduğunu bildirdikleri arasında şaşırtıcı bir fark ortaya çıktı.
İşte öğrendiklerimiz:
Raporu indirin veya daha fazlasını öğrenmek için okumaya devam edin.
Yapay zeka/makine öğrenimi kullanımına gelince, yöneticilerin %88'i bu yeni teknolojinin güvenlik tarama ve güvenlik açığı giderme süreçlerine entegre edildiğine inanıyor, ancak geliştiricilerin yalnızca %60'ı bunun böyle olduğunu bildiriyor.
Çalışmada ayrıca bölgesel farklılıklara da dikkat çekildi.
APAC bölgesi, yöneticilerin %99'unun kuruluşlarının güvenlik süreçlerine AI/ML entegre ettiğine inanmasıyla küresel lider olarak ortaya çıkıyor. ABD, %91 ile yakından takip ediyor ve ML modellerini yazılım uygulamalarına entegre etmede EMEA'dan (%82) daha hızlı ilerliyor; bu, ABD'deki rekabetçi baskıları ve/veya Avrupa'daki katı düzenlemelerin neden olduğu daha riskten kaçınan bir iklimi yansıtabilir.
Yazılım uygulamalarınızda ML Modellerini kullanıyor musunuz?
Kuruluşların ML modelleri ve AI bileşenlerine odaklanmaya öncelik vermesi ve bu görevler konusunda yöneticiler ve geliştiriciler arasında uyum sağlanması gerekir. Yöneticilerin %90'ından fazlası kuruluşlarının yazılım uygulamalarına ML modelleri dahil ettiğini bildirirken, geliştiricilerin yalnızca %63'ü bu ifadeye katılıyor.
Kötü amaçlı açık kaynaklı paketleri tespit etmek için çözümleriniz var mı?
Yöneticilerin %92'si kuruluşlarının kötü amaçlı açık kaynaklı paketleri tespit etmek için gerekli araçlara sahip olduğundan eminken, geliştiricilerin yalnızca %70'i bu inancı paylaşıyordu. Bu tutarsızlık, iki grup arasında açık kaynaklı güvenlik zorlukları anlayışında bir farklılık olduğunu gösteriyor. Yöneticiler, güvenlik ekiplerinin güvenlik açıklarını gidermeye ve yeni paketler veya kütüphaneler için onay almaya ayırdıkları zamanı hafife almış gibi görünüyor.
Ayrıca yöneticiler, kod incelemelerinin daha büyük bir kısmının geliştiricilerin algıladığından daha fazla oranda otomatikleştirildiğini varsayıyordu.
Kod ve ikili düzeyde güvenlik taramaları uyguluyor musunuz?
Yöneticilerin üçte ikisi kuruluşlarının güvenlik taramalarını kod veya ikili düzeyde gerçekleştirdiğine inanırken, geliştiricilerin yalnızca %41'i buna katıldı. Yöneticiler ayrıca, geliştiricilerin raporlarına kıyasla kuruluşları içinde daha fazla sayıda uygulama güvenlik çözümü kullanıldığını belirttiler; bu da bu araçların yeterince kullanılmadığını gösterebilir.
Boşluğu köprü
Kötü niyetli aktörler SSC'lere odaklanmalarını yoğunlaştırdıkça, kuruluşlar savunmalarını güçlendirmek için artan bir baskı altındadır. Açık kaynaklı ekosistemin sürekli büyümesi ve güvenlik araçlarının hızlı evrimi, yöneticileri yazılım geliştirme süreçlerini korumak için daha etkili yöntemler aramaya zorlamaktadır. AI / ML'yi korumak basit bir tek adımlı çözüm değildir. İlk adım, AI'nın kuruluşunuzda nasıl ve nerede kullanıldığına dair sağlam bir anlayış kazanmak ve ardından bir koruma stratejisi geliştirmektir. Güvenlik ve BT liderleri ayrıca yöneticilerden geliştiricilere kadar herkesin şirketin mevcut risk ve güvenlik duruşunu, özellikle de AI kullanımına ilişkin anlayışını sağlamalıdır. Yeni düzenlemelere uymak için proaktif bir yaklaşım benimseyerek, "kötü şeylerin" içeri girmesini engellemek için çevreyi koruma taahhüdü, artı AI model kalitesi ve güvenliği ile kuruluşlar, geliştiricilerine yenilik yapma özgürlüğü sağlarken savunmalarını güçlendirebilirler.