Der Bericht von JFrog, einem Unternehmen, das eine Software-Supply-Chain-Plattform betreibt, beleuchtet Unterschiede in der Sicherheitswahrnehmung von Führungskräften und Entwickler-Teams, die das Risiko von Angriffen auf die Software-Lieferkette weltweit erhöhen.
Sicherheitsverletzungen in der Software-Lieferkette nehmen deutlich zu, wie die jüngsten IDC-Umfragedaten zeigen, die einen erstaunlichen Anstieg solcher Angriffe um 241 Prozent im Vergleich zum Vorjahr belegen. Überraschenderweise gaben nur 30 Prozent der Umfrageteilnehmer an, dass die Beseitigung von Schwachstellen in ihrer Software-Lieferkette ein wichtiges Sicherheitsproblem darstellt.
Der Bericht von JFrog deckt mehrere Diskrepanzen zwischen den Sicherheitsverantwortlichen und den Entwickler-Teams auf, darunter:
- Erkennung bösartiger Open-Source-Pakete: 92 Prozent der Führungskräfte geben an, dass ihre Unternehmen über Tools zur Erkennung bösartiger Open-Source-Pakete verfügen, während nur 70 % der Entwickler dieser Aussage zustimmen.
- Integration von KI/ML-Tools: Über 90 Prozent der Führungskräfte glauben, dass sie ML-Modelle in ihren Softwareanwendungen einsetzen, während nur 63 Prozent der Entwickler dies bestätigen.
- Einsatz von KI/ML-Tools für Sicherheitsscans: 88 Prozent der Führungskräfte glauben, dass KI/ML-Tools für Sicherheitsscans und Abhilfemaßnahmen eingesetzt werden, doch nur 60 Prozent der DevSecOps-Teams geben an, dass sie diese Tools tatsächlich nutzen.
- Regelmäßige Sicherheitsscans auf Code-Ebene: 67 Prozent der Führungskräfte glauben, dass Sicherheitsscans auf Code-Ebene regelmäßig durchgeführt werden, aber nur 41 Prozent der Entwickler bestätigen dies.
Die Untersuchung befasst sich auch mit den regionalen Unterschieden in Bezug auf Sicherheitstechniken und die Transparenz der Software-Lieferkette, wie z.B.:
- Bekanntheit von Sicherheitslösungen: 14 Prozent der Befragten in der EMEA-Region waren keine Tools zur Identifizierung bösartiger Open Source-Pakete bekannt, im Gegensatz dazu sind es in den USA nur 9 Prozent und in Asien sogar nur 1 Prozent. Es gibt also eine erhebliche Diskrepanz zwischen der Sicherheitsstrategie und der operativen Umsetzung in der EMEA-Region.
- Einführung von KI/ML-Modellen: Nur 82 Prozent der Befragten in der EMEA-Region gaben an, bereits KI-/ML-Modelle zu verwenden, im Vergleich zu 91 Prozent in den USA und 99 Prozent in Asien.
Die Ergebnisse des Berichts unterstreichen die Notwendigkeit einer stärkeren Zusammenarbeit zwischen Führungskräften und Entwicklern, um die Sicherheit der Software-Lieferkette zu verbessern. Es ist wichtig, dass Unternehmen die Lücke zwischen der Wahrnehmung und der Realität schließen, um die Sicherheit ihrer Software-Lieferkette zu gewährleisten.