En el recién lanzado JFrog Estado de la Unión de la Cadena de Suministro de Software 2024 informe, el proveedor de la plataforma de la cadena de suministro de software encontró un uso extensivo de IA y aprendizaje automático herramientas para la seguridad. Sin embargo, sólo uno de cada tres desarrolladores de software que la empresa encuestada utiliza IA generativa para escribir código.
Si bien el 90% de los encuestados indica que sus organizaciones utilizan actualmente herramientas impulsadas por IA/ML de alguna manera para ayudar en el escaneo y la remediación de seguridad, solo aproximadamente uno de cada tres profesionales, el 32%, dijo que sus organizaciones usan herramientas impulsadas por AI/ML para escribir. código. Esto indica que la mayoría todavía desconfía de las posibles vulnerabilidades que el código generado por IA puede introducir en el software empresarial, dijo JFrog.
Publicado el 19 de marzo, el informe de JFrog combina datos de uso de desarrolladores de JFrog Artifactory de más de 7000 organizaciones, análisis CVE (vulnerabilidades y exposiciones comunes) original realizado por el equipo de investigación de seguridad de JFrog y datos de encuestas encargadas a terceros de 1200 profesionales de la tecnología en todo el mundo para brindar contexto. el panorama de la cadena de suministro de software.
El informe también señala que casi la mitad de los encuestados, el 47%, dijo que utiliza entre cuatro y nueve soluciones de seguridad de aplicaciones. Un tercio dijo que está utilizando 10 o más soluciones de seguridad de aplicaciones.
Otros hallazgos en el informe Estado de la Unión 2024 de la cadena de suministro de software de JFrog:
- La seguridad está pasando factura a la productividad. Un 40% de los encuestados dijo que normalmente se necesita una semana o más para obtener la aprobación para utilizar un nuevo paquete o biblioteca. Aproximadamente el 25% del tiempo de los equipos de seguridad se dedica a solucionar vulnerabilidades.
- Reinan los ataques de denegación de servicio. Casi la mitad (48,9%) de los CVE analizados tienen potencial para un ataque DoS, en comparación con el 18,9% que tiene el potencial de realizar la ejecución remota de código. Esta es una buena noticia, dijo JFrog, porque la ejecución remota de código tiene un impacto mucho más perjudicial.
- No todos los CVE son lo que parecen. El equipo de investigación de seguridad de JFrog redujo la gravedad del 85 % de los CVE críticos y del 73 % de los CVE altos en promedio después de analizar 212 CVE diferentes de alto perfil encontrados en 2023.
- Más de la mitad de las organizaciones (53%) utilizan de cuatro a nueve lenguajes de programación y el 31% utiliza más de 10 lenguajes.
Copyright © 2024 IDG Communications, Inc.
