我们调查了全球 1,200 多名技术专业人士,包括 300 多名副总裁和 C 级高管,了解他们在 AI/ML 使用和软件供应链 (SSC) 安全方面的工作。经过分析,高管们认为的情况与开发人员和工程师报告的情况之间存在令人惊讶的差距。 以下是我们的发现: 88% 的高管表示 AI/ML 工具已集成到他们的安全扫描和补救流程中,而只有 60% 的开发人员表示 AI/ML 工具已集成到他们的安全扫描和补救流程中。 90% 的高管表示他们的组织在我们的软件应用程序中使用 ML 模型,而只有 63% 的开发人员表示他们的组织在我们的软件应用程序中使用 ML 模型。 92% 的高管表示他们有检测恶意开源软件包的解决方案,而只有 70% 的开发人员表示他们有检测恶意开源软件包的解决方案。 66% 的高管和仅 41% 的开发人员表示他们在代码和二进制级别应用安全扫描。 或继续阅读此处以了解更多信息。 下载报告 谈到 AI/ML 的使用,88% 的高管认为这项新技术正在融入他们的安全扫描和漏洞修复流程,但只有 60% 的开发人员报告了这种情况。 该研究还强调了地区差异。 亚太地区成为全球领导者,99% 的高管认为其组织已将 AI/ML 集成到安全流程中。美国紧随其后,比例为 91%,在将 ML 模型集成到软件应用程序方面比欧洲、中东和非洲地区 (82%) 的进展更快,这可能反映了美国的竞争压力和/或欧洲严格的监管导致的更规避风险的氛围。 您在软件应用程序中使用 ML 模型吗? 组织需要优先关注 ML 模型和 AI 组件,确保高管和开发人员在这些任务上保持一致。超过 90% 的高管表示,他们的组织将 ML 模型整合到他们的软件应用程序中,但只有 63% 的开发人员同意这一说法。 您有检测恶意开源软件包的解决方案吗? 虽然 92% 的高管相信他们的组织拥有识别恶意开源软件包所需的工具,但只有 70% 的开发人员也持这种观点。这种差异表明两组对开源安全挑战的理解存在差异。高管似乎低估了安全团队修复漏洞和获得新软件包或库批准所花费的时间。 此外,高管们认为代码审查的自动化比例比开发人员想象的要大。 您是否在代码和二进制级别应用安全扫描? 虽然三分之二的高管认为他们的组织在代码或二进制级别进行了安全扫描,但只有 41% 的开发人员同意这一观点。高管还表示,与开发人员的报告相比,他们的组织内使用的应用程序安全解决方案数量更多,这可能表明这些工具未得到充分利用。 缩小差距 随着恶意行为者将注意力集中在 SSC 上,组织面临着越来越大的加强防御的压力。开源生态系统的不断发展以及安全工具的快速发展,迫使高管寻求更有效的方法来保护他们的软件开发流程。保护 AI/ML 不是一个简单的一步到位的解决方案。第一步是深入了解组织内如何以及在何处使用 AI,然后制定保护策略。安全和 IT 领导者还必须确保从高管到开发人员的每个人都了解公司当前的风险和安全态势,特别是在 AI 使用方面。通过采取积极主动的方式遵守新法规,致力于保护周边以阻止“坏事”进入,加上 AI 模型的质量和安全性,组织可以加强防御,同时为开发人员提供创新的自由。
