No relatório recém-lançado do Estado da União 2024 da Cadeia de Fornecimento de Software da JFrog, o fornecedor da plataforma da cadeia de fornecimento de software descobriu o uso extensivo de ferramentas de IA e aprendizado de máquina para segurança. No entanto, apenas um em cada três desenvolvedores de software pesquisados pela empresa usa IA generativa para escrever código.
Embora 90% dos entrevistados indiquem que suas organizações atualmente usam ferramentas baseadas em IA/ML de alguma forma para auxiliar na verificação e correção de segurança, apenas cerca de um em cada três profissionais, 32%, disse que suas organizações usam ferramentas baseadas em IA/ML para escrever código. Isso indica que a maioria ainda está cautelosa com as vulnerabilidades potenciais que o código gerado por IA pode introduzir no software empresarial, disse JFrog.
Lançado em 19 de março, o relatório da JFrog combina dados de uso do desenvolvedor do JFrog Artifactory de mais de 7.000 organizações, análise CVE (Vulnerabilidades e Exposições Comuns) original da equipe de pesquisa de segurança da JFrog e dados de pesquisa de terceiros encomendados de 1.200 profissionais de tecnologia em todo o mundo para fornecer contexto sobre o cenário da cadeia de suprimentos de software.
O relatório também observa que quase metade dos entrevistados, 47%, disseram usar entre quatro e nove soluções de segurança de aplicativos. Um terço disse que está usando 10 ou mais soluções de segurança de aplicativos.
Outras descobertas no relatório do Estado da União 2024 da Cadeia de Fornecimento de Software da JFrog:
- A segurança está afetando a produtividade. Um total de 40% dos entrevistados disseram que normalmente leva uma semana ou mais para obter aprovação para usar um novo pacote ou biblioteca. Aproximadamente 25% do tempo das equipes de segurança é gasto na correção de vulnerabilidades.
- Os ataques de negação de serviço reinam. Quase metade (48,9%) dos CVEs analisados têm potencial para um ataque DoS, em comparação com 18,9% que têm potencial para executar execução remota de código. Esta é uma boa notícia, disse JFrog, porque a execução remota de código tem um impacto muito mais prejudicial.
- Nem todos os CVEs são o que parecem. A equipe de pesquisa de segurança do JFrog rebaixou a gravidade de 85% dos CVEs críticos e 73% dos CVEs altos, em média, após analisar 212 CVEs diferentes de alto perfil encontrados em 2023.
- Mais da metade das organizações (53%) usam de quatro a nove linguagens de programação e 31% usam mais de 10 linguagens.