软件供应链安全成为“比生成式AI更严峻的威胁”

安全与开发团队之间存在严重脱节

根据安全公司Cycode的最新报告，安全专业人士对软件供应链安全盲点的担忧超过了对生成式AI风险的担忧。该供应商调查了美国500名企业安全专业人士，其中78%表示当今的应用安全攻击面已难以管理。

根据ASPM现状报告，工具泛滥和拥挤的工具栈是组织面临软件供应链安全挑战的重要因素，而不堪重负的安全和开发团队未能良好协作解决问题。

软件供应链安全威胁已成为各行业组织面临的主要问题。今年5月，Juniper Research预测仅今年软件供应链攻击造成的损失就可能超过460亿美元，到2026年预计将达到近810亿美元。最近的3CX黑客事件就是软件供应链级联危害风险的典型例证。

软件供应链安全是最大担忧

72%的受访者认为软件供应链盲点是最大的安全担忧，略高于生成式AI的71%。开源组件、云和容器以及CI/CD管道盲点分别以69%的比例成为其次最受关注的安全问题。

安全专业人士对软件供应链风险的担忧超过生成式AI威胁这一事实很有说服力，因为该技术对网络安全的影响持续成为头条新闻。

8月份，Deep Instinct的研究显示，威胁行为者使用生成式AI导致去年全球攻击大幅增加，而谷歌最近警告称，网络犯罪分子将在2024年使用生成式AI语言模型大幅提高社会工程攻击的效力和规模。

安全专业人士饱受警报疲劳困扰

根据Cycode的报告，安全专业人士饱受众多应用安全工具产生的大量警报困扰，75%的受访者难以应对管理多个工具的复杂性。这导致了警报疲劳，可能严重影响并延迟对关键警报的响应。76%的受访安全专业人士表示管理所有警报具有挑战性，81%的人表示开发团队正经历过多的漏洞噪音和警报疲劳。

74%的受访安全专业人士认为确定首先修复哪些漏洞具有挑战性，而83%的人并不总是能够扩展在适当时间将漏洞传达给适当开发人员的过程。此外，80%的开发团队正经历过多噪音和警报疲劳的受访者认为，他们的开发团队因此未能修复所有漏洞。

安全与开发团队之间存在重大脱节

数据还揭示了安全与开发团队之间的重大脱节。88%的受访者表示，其组织内应用程序安全责任分散在多个团队中，每个团队都有自己的工具。因此，77%的人认为理解谁“拥有”安全责任是一个挑战。几乎所有受访者（90%）表示安全与开发人员之间的关系需要改善。

IDC高级研究分析师Katie Norton评论道：“Cycode报告的许多发现与我们市场上看到的情况一致，首先是软件供应链安全的关键性。我们2023年的DevSecOps采用、技术和工具调查将脆弱的软件供应链确定为首要应用安全差距。我们的IDC研究还发现，公司正在努力解决开发和安全不一致的问题，并已优先考虑促进协调。”