Un domaine qui nécessite une prudence particulière est le développement de modèles AI/ML. Nous constatons une menace croissante de codes malveillants à ce stade critique, permettant aux acteurs malveillants de trouver de nouveaux moyens de s'introduire dans les entreprises et les chaînes d'approvisionnement en logiciels et de voler des données.
Alors que l’IA/ML fait partie intégrante de nombreuses livraisons de logiciels depuis de nombreuses années, l’essor des grands modèles linguistiques (LLM) a rendu beaucoup plus facile l’intégration de l’IA/ML dans de nombreuses applications. Les développeurs sont censés déployer des modèles d'IA/ML ainsi que des mises à jour logicielles et de nouvelles implémentations, mais ils ne disposent souvent pas des ressources nécessaires pour intégrer dès le départ des mesures de sécurité dans leurs processus. On peut observer que les développeurs se tournent vers les offres open source pour rationaliser leurs flux de travail, mais ne vérifient souvent pas les vulnérabilités du code qu'ils utilisent. Une fois le code malveillant déployé dans les modèles IA/ML, il peut être utilisé comme une arme par les cybercriminels pour se déplacer au sein des réseaux de l'organisation.
Sécurité de la chaîne d'approvisionnement logicielle
L'importance de la chaîne d'approvisionnement en logiciels continuera de croître et, dans le même temps, la situation de menace augmentera également en complexité et en intensité. Les entreprises doivent étendre leurs structures de sécurité en conséquence et les adapter aux nouveaux défis. Le soutien d'un cadre juridique permettant un environnement sûr pour le développement de logiciels joue un rôle crucial. Aux États-Unis, par exemple, la feuille de route de sécurité des logiciels open source de la CISA a placé le marché dans une position de force pour faire face en toute confiance aux menaces de sécurité émergentes. Les experts en sécurité du secteur sont convaincus que l’open source continuera de constituer une menace majeure à long terme.
Les nomenclatures logicielles représentent un moyen de lutter contre ces menaces de sécurité dans la chaîne d'approvisionnement logicielle. Heureusement, les SBOM sont de plus en plus reconnus car ils permettent aux entreprises de mieux répondre aux attaques de la chaîne d'approvisionnement. Ils permettent des temps de réponse plus rapides lorsqu'une vulnérabilité est découverte. Néanmoins, nous assisterons probablement à une augmentation des attaques contre la chaîne d’approvisionnement logicielle cette année, car les acteurs malveillants disposent de davantage d’outils pour mener et faire évoluer leurs attaques. Mais dans le même temps, on peut supposer que la volonté de renforcer les mécanismes de défense dans les organisations va progressivement augmenter.
Plus sur JFrog.com
À propos de JFrog
Nous avons lancé Liquid Software en 2008 pour transformer la façon dont les entreprises gèrent et publient les mises à jour logicielles. Le monde s’attend à ce que les logiciels soient mis à jour en permanence, de manière sécurisée, discrètement et sans intervention de l’utilisateur. Cette expérience hyper-connectée ne peut être rendue possible que grâce à l'automatisation avec une plate-forme DevOps de bout en bout et une approche centrée sur les binaires.
Articles liés au sujet