Uma área que requer cautela especial é o desenvolvimento de modelos de IA/ML. Estamos vendo uma ameaça crescente de códigos maliciosos neste ponto crítico, permitindo que os atores da ameaça encontrem novas maneiras de invadir empresas e cadeias de fornecimento de software e roubar dados.
Embora a IA/ML tenha sido parte integrante de muitas entregas de software por muitos anos, o surgimento de Large Language Models (LLMs) tornou muito mais fácil incorporar IA/ML em muitas aplicações. Espera-se que os desenvolvedores implantem modelos de IA/ML junto com atualizações de software e novas implementações, mas muitas vezes não têm os recursos para incorporar medidas de segurança em seus processos desde o início. Pode-se observar que os desenvolvedores recorrem a ofertas de código aberto para agilizar seus fluxos de trabalho, mas muitas vezes não verificam vulnerabilidades no código que usam. Depois que o código malicioso é implantado em modelos de IA/ML, ele pode ser usado como uma arma pelos cibercriminosos para se movimentar dentro das redes da organização.
Segurança da cadeia de suprimentos de software
A importância da cadeia de abastecimento de software continuará a aumentar e, ao mesmo tempo, a situação de ameaça também aumentará em complexidade e intensidade. As empresas devem expandir as suas estruturas de segurança em conformidade e adaptá-las aos novos desafios. O apoio de um quadro jurídico que permita um ambiente seguro para o desenvolvimento de software desempenha um papel crucial. Nos EUA, por exemplo, o Roteiro de Segurança de Software de Código Aberto da CISA colocou o mercado numa posição forte para enfrentar com confiança as ameaças de segurança emergentes. Os especialistas em segurança do setor acreditam firmemente que o código aberto continuará a representar uma grande ameaça no longo prazo.
A lista de materiais de software representa uma forma de combater essas ameaças à segurança na cadeia de fornecimento de software. Felizmente, os SBOMs estão a tornar-se cada vez mais reconhecidos, pois permitem às empresas responder melhor aos ataques à cadeia de abastecimento. Eles permitem tempos de resposta mais rápidos quando uma vulnerabilidade é descoberta. No entanto, é provável que vejamos um aumento nos ataques à cadeia de fornecimento de software este ano, uma vez que os agentes de ameaças têm mais ferramentas à sua disposição para realizar e desenvolver os seus ataques. Ao mesmo tempo, porém, pode-se presumir que a vontade de reforçar os mecanismos de defesa nas organizações aumentará de forma constante.
Mais em JFrog.com
Sobre JFrog
Começamos com a Liquid Software em 2008 para transformar a maneira como as empresas gerenciam e lançam atualizações de software. O mundo espera que o software seja atualizado de forma contínua, segura, discreta e sem intervenção do usuário. Essa experiência hiperconectada só pode ser possibilitada por meio da automação com uma plataforma DevOps ponta a ponta e um foco centrado no binário.
Artigos relacionados ao tema