JFrog-Bericht deckt gefährliche Diskrepanzen bei der Sicherheitswahrnehmung auf

Der neue Bericht enthüllt eine bedeutende Diskrepanz zwischen Führungskräften und Entwicklern weltweit, die die Erkennung und Behebung von Sicherheitslücken in der Software-Lieferkette erschwert und die standardisierte Nutzung von KI/ML-Technologien behindert.

JFrog, das Liquid Software Unternehmen und Entwickler der JFrog Software Supply Chain Plattform,hat die Ergebnisse eines neuen Berichts vorgestellt, der Unterschiede in der Sicherheitswahrnehmung von Führungskräften und Entwickler-Teams beleuchtet, die das Risiko von Angriffen auf die Software-Lieferkette weltweit erhöhen.

Sicherheitsverletzungen in der Software-Lieferkette nehmen deutlich zu, wie die jüngsten IDC-Umfragedaten zeigen, die einen erstaunlichen Anstieg solcher Angriffe um 241 Prozent im Vergleich zum Vorjahr belegen. Überraschenderweise gaben nur 30 Prozent der Umfrageteilnehmer an, dass die Beseitigung von Schwachstellen in ihrer Software-Lieferkette ein wichtiges Sicherheitsproblem darstellt.

„Die Komplexität der heutigen Software-Lieferkette birgt noch nie dagewesene Risiken. Trotz der Bemühungen der Führungskräfte, die Entwickler-Teams mit den richtigen Werkzeugen auszustatten, haben die Entwickler Schwierigkeiten, die Effizienz zu erhöhen und die Produktivität zu verbessern, da die Sicherheitstools unübersichtlich sind und die Freigabe von Open-Source-Software sowie Audit- und Compliance-Prüfungen langwierig sind“, sagt Paul Davis, Field CISO bei JFrog. „Diese Diskrepanz unterstreicht die Dringlichkeit für Unternehmen, ihre Sicherheitsstrategien zu überdenken und einen kooperativen Ansatz zwischen Führungskräften und operativen Teams zu verfolgen, um ihre Software-Lieferketten effektiv zu stärken.“

Der neue Bericht von JFrog offenbart mehrere Diskrepanzen zwischen den Sicherheitsverantwortlichen und den Entwickler-Teams in Bezug auf die Erkennung bösartiger Open-Source-Pakete, der Integration von KI/ML-Tools und der Notwendigkeit von Sicherheitsscans auf Code-Ebene, darunter:

• 92 Prozent der Führungskräfte geben an, dass ihre Unternehmen über Tools zur Erkennung bösartiger Open-Source-Pakete verfügen, während nur 70 % der Entwickler dieser Aussage zustimmen.
• Über 90 Prozent der Führungskräfte glauben, dass sie ML-Modelle in ihren Softwareanwendungen einsetzen, während nur 63 Prozent der Entwickler dies bestätigen.
• 88 Prozent der Führungskräfte glauben, dass KI/ML-Tools für Sicherheitsscans und Abhilfemaßnahmen eingesetzt werden, doch nur 60 Prozent der DevSecOps-Teams geben an, dass sie diese Tools tatsächlich nutzen.
• 67 Prozent der Führungskräfte glauben, dass Sicherheitsscans auf Code-Ebene regelmäßig durchgeführt werden, aber nur 41 Prozent der Entwickler bestätigen dies. Die Untersuchung befasst sich auch mit den regionalen Unterschieden in Bezug auf Sicherheitstechniken und die Transparenz der Software-Lieferkette, wie z.B.:
• Bekanntheit von Sicherheitslösungen: 14 Prozent der Befragten in der EMEA-Region waren keine Tools zur Identifizierung bösartiger Open Source-Pakete bekannt, im Gegensatz dazu sind es in den USA nur 9 Prozent und in Asien sogar nur 1 Prozent. Es gibt also eine erhebliche Diskrepanz zwischen der Sicherheitsstrategie und der operativen Umsetzung in der EMEA-Region.
• Einführung von KI/ML-Modellen: Nur 82 Prozent der Befragten in der EMEA-Region gaben an, bereits KI-/ML-Modelle zu verwenden, im Vergleich zu 91 Prozent in den USA und 99 Prozent in Asien. Diese Divergenz könnte auf das risikoscheue, von strengen Vorschriften geprägte Umfeld in Europa hindeuten, während in den USA eine schnellere Einführung von KI/ML-Technologien beobachtet wird.