JFrog最新研究顯示，MLOps和企業(yè)軟件供應鏈安全保障存在“薄弱環(huán)節”

流式軟件公司、JFrog 軟件供應鏈平臺的締造者JFrog近期發(fā)布最新報告，揭示了企業(yè)管理人員和一線(xiàn)團隊在MLOps和安全認知上的差異，而這一認知差異正在增加全球軟件供應鏈（SSC）遭受攻擊的風(fēng)險。

IDC 最近的一項調查數據顯示，軟件供應鏈安全漏洞大幅增加，同比增幅高達241%。而令人驚訝的是，只有 30% 的受訪(fǎng)者認為解決軟件供應鏈中的漏洞是保障安全的當務(wù)之急。

JFrog 大中華和日本地區總經(jīng)理董任遠表示：“當今軟件供應鏈的復雜性帶來(lái)了前所未有的安全風(fēng)險。盡管企業(yè)管理層努力以適配的設備為一線(xiàn)團隊賦能，但由于應用工具繁雜、開(kāi)源和ML模型審批流程冗長(cháng)、審計和合規性檢查繁多，開(kāi)發(fā)人員在提高效率和加快發(fā)展生產(chǎn)力方面舉步維艱。這種矛盾凸顯了企業(yè)亟需重新思考自身安全戰略，致力于更多地關(guān)注AI / ML組件，將管理層和執行層建立緊密協(xié)作，從而有效保障其軟件供應鏈的安全?！?/p>

JFrog 的最新報告揭示了安全部門(mén)主管和一線(xiàn)軟件團隊之間在惡意開(kāi)源軟件包檢測、AI / ML集成和代碼級安全掃描方面存在的多項差異，包括：

●   92%的高管稱(chēng)其企業(yè)擁有檢測惡意開(kāi)源軟件包的工具，而只有 70% 的開(kāi)發(fā)人員同意這一說(shuō)法。

●   90%以上的高管認為其在軟件應用程序中使用了ML模型，而只有 63% 的開(kāi)發(fā)人員確認了這一點(diǎn)。

●   88%的高管認為AI / ML工具正被用于安全掃描和修復流程，但只有 60% 的 DevSecOps 團隊表示他們正在使用這些工具。

●   67%的高管認為代碼級安全掃描是定期進(jìn)行的，然而只有 41% 的開(kāi)發(fā)人員確認了這一點(diǎn)。

JFrog的研究還深入探討了軟件供應鏈安全性、認知性和AI / ML技術(shù)應用等方面在地區上的差異，其中：

●   對安全解決方案的認識：14%的歐洲、中東和非洲地區（EMEA）受訪(fǎng)者不知道有能夠識別惡意開(kāi)源軟件包的工具，而相比之下，美國（9%）和亞洲（1%）的比例較低，凸顯了EMEA地區在安全戰略和運營(yíng)理解方面的嚴重脫節。

●   AI / ML模型的應用： EMEA地區僅有 82% 的受訪(fǎng)者表示使用了AI / ML模型，相比之下，美國和亞洲的這一比例分別為 91% 和 99%。這種差異可能表明歐洲的風(fēng)險規避環(huán)境受到了更加嚴格法規的影響，而在美國，對AI / ML技術(shù)的應用速度更快。