Un’area che richiede particolare cautela è lo sviluppo di modelli AI/ML. Stiamo assistendo a una crescente minaccia di codice dannoso in questo momento critico, consentendo agli autori delle minacce di trovare nuovi modi per penetrare nelle aziende e nelle catene di fornitura di software e rubare dati.
Sebbene l’intelligenza artificiale/ML sia parte integrante di molte consegne di software da molti anni, l’ascesa dei Large Language Models (LLM) ha reso molto più semplice incorporare l’intelligenza artificiale/ML in molte applicazioni. Ci si aspetta che gli sviluppatori implementino modelli AI/ML insieme ad aggiornamenti software e nuove implementazioni, ma spesso non hanno le risorse per integrare misure di sicurezza nei loro processi fin dall'inizio. Si può osservare che gli sviluppatori si rivolgono alle offerte open source per semplificare i propri flussi di lavoro, ma spesso non controllano il codice utilizzato per individuare eventuali vulnerabilità. Una volta distribuito nei modelli AI/ML, il codice dannoso può essere utilizzato come arma dai criminali informatici per spostarsi all'interno delle reti dell'organizzazione.
Sicurezza della catena di fornitura del software
L’importanza della catena di fornitura del software continuerà ad aumentare e allo stesso tempo anche la situazione delle minacce aumenterà in complessità e intensità. Le aziende devono ampliare di conseguenza le proprie strutture di sicurezza e adattarle alle nuove sfide. Il sostegno di un quadro giuridico che consenta un ambiente sicuro per lo sviluppo del software svolge un ruolo cruciale. Negli Stati Uniti, ad esempio, la Roadmap per la sicurezza del software open source della CISA ha messo il mercato in una posizione forte per affrontare con sicurezza le minacce emergenti alla sicurezza. Gli esperti di sicurezza del settore credono fermamente che l’open source continuerà a rappresentare una grave minaccia a lungo termine.
La distinta base del software rappresenta un modo per combattere queste minacce alla sicurezza nella catena di fornitura del software. Fortunatamente, le SBOM stanno diventando sempre più riconosciute poiché consentono alle aziende di rispondere meglio agli attacchi alla catena di fornitura. Consentono tempi di risposta più rapidi quando viene scoperta una vulnerabilità. Tuttavia, quest’anno probabilmente assisteremo a un aumento degli attacchi alla catena di fornitura del software poiché gli autori delle minacce hanno più strumenti a loro disposizione per eseguire ed evolvere i loro attacchi. Allo stesso tempo, però, si può presumere che la volontà di rafforzare i meccanismi di difesa nelle organizzazioni aumenterà costantemente.
Maggiori informazioni su JFrog.com
A proposito di JFrog
Abbiamo iniziato con Liquid Software nel 2008 per trasformare il modo in cui le aziende gestiscono e rilasciano gli aggiornamenti software. Il mondo si aspetta che il software venga aggiornato continuamente, in modo sicuro, discreto e senza l'intervento dell'utente. Questa esperienza iperconnessa può essere abilitata solo attraverso l'automazione con una piattaforma DevOps end-to-end e un focus incentrato sul binario.
Articoli relativi all'argomento