Однією з сфер, яка вимагає особливої обережності, є розробка моделей AI/ML. У цей критичний момент ми спостерігаємо зростаючу загрозу зловмисного коду, що дозволяє суб’єктам загрози знаходити нові способи проникнення в компанії та ланцюжки поставок програмного забезпечення та викрасти дані.
Хоча AI/ML був невід’ємною частиною багатьох поставок програмного забезпечення протягом багатьох років, розвиток великих мовних моделей (LLM) значно полегшив вбудовування AI/ML у багато програм. Очікується, що розробники розгортатимуть моделі штучного інтелекту/ML разом із оновленнями програмного забезпечення та новими реалізаціями, але часто не мають ресурсів для впровадження заходів безпеки у свої процеси з самого початку. Можна помітити, що розробники звертаються до пропозицій з відкритим кодом, щоб спростити свої робочі процеси, але часто не перевіряють код, який вони використовують, на наявність уразливостей. Коли шкідливий код розгортається в моделях AI/ML, він може використовуватися кіберзлочинцями як зброя для переміщення в мережах організації.
Безпека ланцюга поставок програмного забезпечення
Важливість ланцюга постачання програмного забезпечення зростатиме, і водночас ускладнюватиметься та посилюватиметься загрозлива ситуація. Компанії повинні відповідно розширити свої структури безпеки та адаптувати їх до нових викликів. Підтримка законодавчої бази, яка забезпечує безпечне середовище для розробки програмного забезпечення, відіграє вирішальну роль. У США, наприклад, Дорожня карта безпеки програмного забезпечення з відкритим кодом CISA поставила ринок у сильну позицію для впевненого вирішення нових загроз безпеці. Експерти з безпеки в галузі твердо переконані, що відкрите кодове джерело й надалі представлятиме серйозну загрозу в довгостроковій перспективі.
Перелік матеріалів програмного забезпечення є одним із способів боротьби з цими загрозами безпеці в ланцюжку постачання програмного забезпечення. На щастя, SBOM набувають все більшого визнання, оскільки вони дозволяють компаніям краще реагувати на атаки на ланцюги поставок. Вони дозволяють швидше реагувати на виявлення вразливості. Тим не менш, цього року ми, ймовірно, побачимо збільшення атак на ланцюги поставок програмного забезпечення, оскільки суб’єкти загрози мають у своєму розпорядженні більше інструментів для здійснення та розвитку своїх атак. Водночас, однак, можна припустити, що бажання зміцнювати захисні механізми в організаціях неухильно зростатиме.
Більше на JFrog.com
Про JFrog
У 2008 році з Liquid Software ми вирішили змінити спосіб управління компаніями та випуск оновлень програмного забезпечення. Світ очікує, що програмне забезпечення оновлюватиметься постійно, безпечно, непомітно та без втручання користувача. Цей гіперз’єднаний досвід можна ввімкнути лише за допомогою автоматизації за допомогою наскрізної платформи DevOps і бінарного фокусу.
Статті по темі