图灵汇官网

全球软件供应链安全挑战与认知分歧

近期，流式软件公司——JFrog，作为软件供应链平台的开创者，发布了一份重要报告，揭示了高级管理人员与一线运营人员之间的认知鸿沟，这一现象对人工智能/机器学习（AI/ML）技术在标准化应用、安全检测与漏洞修补过程中的普及构成阻碍。

IDC的最新研究显示，软件供应链安全漏洞数量显著增长，同比激增241%，而仅有30%的受访人员视解决供应链漏洞为当前安全工作的首要任务。JFrog大中华及日本地区总经理董任远指出：“在复杂的软件供应链环境下，安全风险日益加剧。尽管管理层试图通过先进的工具支持一线团队，但面对复杂的应用工具、冗长的开源和ML模型审批流程以及繁重的审计和合规检查，开发人员在提升效率与生产力方面面临挑战。这反映了企业需要重新审视其安全策略，聚焦AI/ML组件，促进管理层与执行层间的紧密合作，以确保软件供应链的安全。”

JFrog报告详细阐述了安全部门领导者与一线软件团队在恶意开源软件包检测、AI/ML集成与代码级安全扫描方面的认知差异：

• 检测恶意软件的工具：92%的高管声称其企业具备检测恶意开源软件包的能力，但仅有70%的一线团队表示认同。
• AI/ML模型的使用：90%的高管确信其软件应用中有AI/ML模型的融入，而63%的一线团队持有相同观点。
• 安全扫描与修复流程：88%的高管认为AI/ML工具用于安全流程，但只有60%的DevSecOps团队实际采用这些工具。
• 代码级安全扫描：67%的高管表示定期执行代码级安全扫描，而41%的一线团队对此予以确认。

此外，报告还深入分析了不同地区在软件供应链安全、认知以及AI/ML技术应用上的差异：

• 安全解决方案的意识：在欧洲、中东和非洲（EMEA）地区，有14%的受访者表示对识别恶意开源软件包的工具一无所知，相比之下，美国（9%）和亚洲（1%）的知晓率较高，这表明EMEA地区在安全策略和运营理解上存在差距。
• AI/ML模型的使用：EMEA地区的受访者中，82%表示使用了AI/ML模型，而美国和亚洲的这一比例分别为91%和99%，这一差异可能归因于欧洲更为严格的法规环境，导致对AI/ML技术的应用相对谨慎。

为了深入探索管理人员如何加强与开发人员、安全和数据科学团队的合作，以提升软件供应链的安全性，请访问JFrog官方网站，获取完整的报告。

JFrog简介

JFrog Ltd.致力于构建一个无缝连接从开发人员到设备的软件交付生态系统。其软件供应链平台作为统一的管理系统，助力企业高效、安全地构建、管理和分发软件，确保软件的可用性、追溯性和防篡改性。平台内置安全功能，能及时发现并应对威胁和漏洞。JFrog提供混合、通用、多云平台，作为自托管或SaaS服务，适用于主流云服务提供商。全球超过百万用户和7200多家企业信赖JFrog解决方案，推动数字化转型进程。