Özellikle dikkat edilmesi gereken alanlardan biri de AI/ML modellerinin geliştirilmesidir. Bu kritik noktada, tehdit aktörlerinin şirketlere ve yazılım tedarik zincirlerine sızmak ve verileri çalmak için yeni yollar bulmasına olanak tanıyan kötü amaçlı kod tehdidinin giderek arttığını görüyoruz.
AI/ML uzun yıllardır birçok yazılım teslimatının ayrılmaz bir parçası olsa da Büyük Dil Modellerinin (LLM'ler) yükselişi, AI/ML'nin birçok uygulamaya yerleştirilmesini çok daha kolay hale getirdi. Geliştiricilerin yazılım güncellemeleri ve yeni uygulamalarla birlikte AI/ML modellerini de devreye alması bekleniyor, ancak çoğu zaman süreçlerine baştan itibaren güvenlik önlemleri yerleştirecek kaynaklara sahip değiller. Geliştiricilerin iş akışlarını kolaylaştırmak için açık kaynak tekliflerine yöneldikleri ancak çoğu zaman kullandıkları kodlarda güvenlik açıklarını kontrol etmedikleri gözlemlenebiliyor. Kötü amaçlı kod, AI/ML modellerine yerleştirildikten sonra siber suçlular tarafından kuruluşun ağları içinde hareket etmek için bir silah olarak kullanılabilir.
Yazılım tedarik zinciri güvenliği
Yazılım tedarik zincirinin önemi artmaya devam edecek ve aynı zamanda tehdit durumunun karmaşıklığı ve yoğunluğu da artacaktır. Şirketlerin güvenlik yapılarını buna göre genişletmeleri ve yeni zorluklara uyarlamaları gerekiyor. Yazılım geliştirme için güvenli bir ortam sağlayan yasal çerçevenin desteklenmesi çok önemli bir rol oynamaktadır. Örneğin ABD'de, CISA'nın Açık Kaynak Yazılım Güvenliği Yol Haritası, pazarı, ortaya çıkan güvenlik tehditlerini güvenle ele alma konusunda güçlü bir konuma getirdi. Sektördeki güvenlik uzmanları, açık kaynağın uzun vadede büyük bir tehdit oluşturmaya devam edeceğine inanıyor.
Yazılım Malzeme Listesi, yazılım tedarik zincirindeki bu güvenlik tehditleriyle mücadele etmenin bir yolunu temsil eder. Neyse ki SBOM'lar, şirketlerin tedarik zinciri saldırılarına daha iyi yanıt vermesini sağladığı için giderek daha fazla tanınıyor. Bir güvenlik açığı keşfedildiğinde daha hızlı yanıt süreleri sağlarlar. Bununla birlikte, tehdit aktörlerinin saldırılarını gerçekleştirmek ve geliştirmek için ellerinde daha fazla araca sahip olması nedeniyle bu yıl yazılım tedarik zinciri saldırılarında bir artış görmemiz muhtemel. Ancak aynı zamanda örgütlerde savunma mekanizmalarını güçlendirme isteğinin de giderek artacağı varsayılabilir.
Daha fazlası JFrog.com'da
JFrog Hakkında
Şirketlerin yazılım güncellemelerini yönetme ve yayınlama biçimini dönüştürmek için 2008 yılında Liquid Software ile yola çıktık. Dünya, yazılımın sürekli, güvenli, dikkat çekmeyen ve kullanıcı müdahalesi olmadan güncellenmesini bekliyor. Bu hiper bağlantılı deneyim, yalnızca uçtan uca DevOps platformu ve ikili merkezli bir odaklanma ile otomasyon yoluyla etkinleştirilebilir.
Konuyla ilgili makaleler