Chúng tôi đã khảo sát hơn 1.200 chuyên gia công nghệ từ khắp nơi trên thế giới, bao gồm hơn 300 giám đốc điều hành cấp VP và C, về các nỗ lực bảo mật chuỗi cung ứng phần mềm (SSC) và việc sử dụng AI/ML của họ. Sau khi phân tích, đã xuất hiện một khoảng cách đáng ngạc nhiên giữa những gì các nhà điều hành tin rằng đang xảy ra và những gì các nhà phát triển và kỹ sư báo cáo đang xảy ra. Đây là những gì chúng tôi phát hiện ra: 88% giám đốc điều hành so với chỉ 60% nhà phát triển cho biết các công cụ AI/ML được tích hợp trong quy trình quét và khắc phục bảo mật của họ. 90% giám đốc điều hành so với chỉ 63% nhà phát triển cho biết tổ chức của họ sử dụng mô hình ML trong các ứng dụng phần mềm của chúng tôi. 92% giám đốc điều hành so với chỉ 70% nhà phát triển cho biết họ có giải pháp phát hiện các gói nguồn mở độc hại. 66% giám đốc điều hành so với chỉ 41% nhà phát triển cho biết họ áp dụng quét bảo mật ở cấp độ mã và nhị phân. hoặc tiếp tục đọc ở đây để tìm hiểu thêm. Tải xuống báo cáo Khi nói đến việc sử dụng AI/ML, 88% giám đốc điều hành tin rằng công nghệ mới này đang được tích hợp vào quy trình quét bảo mật và khắc phục lỗ hổng bảo mật của họ, nhưng chỉ 60% nhà phát triển cho biết trường hợp này là như vậy. Nghiên cứu cũng nhấn mạnh sự khác biệt giữa các khu vực. Khu vực APAC nổi lên dẫn đầu toàn cầu, với 99% giám đốc điều hành tin rằng tổ chức của họ tích hợp AI/ML vào quy trình bảo mật của họ. Hoa Kỳ theo sát phía sau với 91%, tiến bộ nhanh hơn trong việc tích hợp các mô hình ML vào các ứng dụng phần mềm so với EMEA (82%), điều này có thể phản ánh áp lực cạnh tranh ở Hoa Kỳ và/hoặc môi trường ngại rủi ro hơn ở Châu Âu do các quy định nghiêm ngặt gây ra . Bạn có sử dụng Mô hình ML trong các ứng dụng phần mềm không? Các tổ chức cần ưu tiên tập trung vào các mô hình ML và các thành phần AI, đảm bảo rằng có sự liên kết giữa các giám đốc điều hành và nhà phát triển về các nhiệm vụ này. Hơn 90% giám đốc điều hành báo cáo rằng tổ chức của họ kết hợp các mô hình ML vào các ứng dụng phần mềm của họ, tuy nhiên chỉ có 63% nhà phát triển đồng tình với tuyên bố này. Bạn có giải pháp nào để phát hiện các gói nguồn mở độc hại không? Trong khi 92% giám đốc điều hành tin tưởng rằng tổ chức của họ có các công cụ cần thiết để xác định các gói nguồn mở độc hại thì chỉ có 70% nhà phát triển chia sẻ niềm tin này. Sự khác biệt này cho thấy sự khác biệt trong hiểu biết về các thách thức bảo mật nguồn mở giữa hai nhóm. Các nhà điều hành dường như đã đánh giá thấp thời gian mà các nhóm bảo mật dành riêng cho việc sửa các lỗ hổng và nhận được sự chấp thuận cho các gói hoặc thư viện mới. Ngoài ra, các giám đốc điều hành cho rằng tỷ lệ đánh giá mã được tự động hóa cao hơn mức mà các nhà phát triển nhận thấy. Bạn có áp dụng quét bảo mật ở cấp độ mã và nhị phân không? Trong khi 2/3 số giám đốc điều hành tin rằng tổ chức của họ đã tiến hành quét bảo mật ở cấp độ mã hoặc nhị phân, thì chỉ có 41% nhà phát triển đồng tình. Các giám đốc điều hành cũng chỉ ra số lượng giải pháp bảo mật ứng dụng đang được sử dụng trong tổ chức của họ cao hơn so với báo cáo từ các nhà phát triển, điều này có thể cho thấy rằng các công cụ này chưa được sử dụng đúng mức. Thu hẹp khoảng cách Khi các tác nhân độc hại tăng cường tập trung vào SSC, các tổ chức phải chịu áp lực ngày càng tăng trong việc tăng cường khả năng phòng thủ của mình. Sự phát triển không ngừng của hệ sinh thái nguồn mở, cùng với sự phát triển nhanh chóng của các công cụ bảo mật, buộc các nhà điều hành phải tìm kiếm các phương pháp hiệu quả hơn để bảo vệ quy trình phát triển phần mềm của họ. Bảo vệ AI/ML không phải là giải pháp một bước đơn giản. Bước đầu tiên là hiểu rõ về cách thức và vị trí AI đang được tận dụng trong tổ chức của bạn, sau đó đưa ra chiến lược bảo vệ. Các nhà lãnh đạo về bảo mật và CNTT cũng phải đảm bảo tất cả mọi người từ giám đốc điều hành đến nhà phát triển đều hiểu được rủi ro hiện tại và tình trạng bảo mật của công ty, đặc biệt là xung quanh việc sử dụng AI. Bằng cách áp dụng cách tiếp cận chủ động để tuân thủ các quy định mới, cam kết bảo vệ vành đai để ngăn chặn “những điều xấu” xâm nhập, cộng với chất lượng và tính bảo mật của mô hình AI, các tổ chức có thể tăng cường khả năng phòng thủ của mình đồng thời cho phép các nhà phát triển của họ tự do đổi mới.
