Generatived (Beta) | Cung cấp tin tức và xu hướng mới nhất về AI sáng tạo

JFrog Ltd đã công bố báo cáo mới nhất của mình tại KubeCon + CloudNativeCon Europe, cung cấp thông tin chi tiết về tình trạng bảo mật của chuỗi cung ứng phần mềm. Dựa trên dữ liệu từ hơn 1.400 chuyên gia và cơ sở khách hàng của JFrog, báo cáo nêu bật sự phức tạp ngày càng tăng của các mối đe dọa bảo mật, bao gồm sự gia tăng các lỗ hổng nghiêm trọng và sự gia tăng các cuộc tấn công mô hình AI/ML.

Theo Yoav Landman, Giám đốc công nghệ của JFrog, việc áp dụng AI nhanh chóng đang tạo ra nhu cầu về chuỗi công cụ tự động và quy trình quản trị. Báo cáo phát hiện ra rằng nhiều tổ chức vẫn dựa vào các phương pháp thủ công để quản lý quyền truy cập vào các mô hình AI an toàn, điều này có thể dẫn đến việc giám sát bảo mật. Công ty cho rằng việc áp dụng các giải pháp hỗ trợ AI là điều cần thiết để duy trì sự linh hoạt và an toàn trong kỷ nguyên AI.

Khảo sát nêu bật "bốn yếu tố" của các lỗ hổng bảo mật đe dọa chuỗi cung ứng phần mềm, bao gồm bí mật bị lộ, các gói độc hại và lỗi của con người. Báo cáo cũng tiết lộ rằng chưa đến một nửa số chuyên gia CNTT áp dụng quét bảo mật ở cả cấp độ mã và nhị phân, để lại điểm mù đáng kể trong việc phát hiện mối đe dọa. Ngoài ra, báo cáo cũng đề cập đến việc chấm điểm sai các lỗ hổng nghiêm trọng, với Shachar Menashe, phó chủ tịch nghiên cứu bảo mật của JFrog, chỉ trích việc thổi phồng điểm CVE có thể dẫn đến sự hoảng loạn không cần thiết và lãng phí tài nguyên.

Báo cáo của JFrog cũng đề cập đến những thách thức về khả năng hiển thị nguồn gốc mã và rủi ro khi tải xuống phần mềm nguồn mở mà không kiểm tra lỗ hổng. Toàn bộ phát hiện có sẵn trên trang web của JFrog và công ty sẽ tổ chức một hội thảo trên web vào ngày 24 tháng 4 năm 2025 để thảo luận thêm về tác động của báo cáo đối với chuỗi cung ứng phần mềm.