O cenário foi detectado no Relatório da Black Duck,que aponta as vulnerabilidades nas cadeias de suprimentos de software, à medida que a adoção de IA supera a segurança.
Embora 95% das organizações relatam o uso de ferramentas de IA no desenvolvimento de software, apenas 24% adotam estratégias para proteger o código gerado pela tecnologia. É o que revela relatório, “Navegando pelos Riscos da Cadeia de Suprimentos de Software em um Mundo de Lançamentos Rápidos“, da Black Duck, empresa de soluções de segurança de aplicativos com IA.
As descobertas apontam uma discrepância entre a adoção de IA e a proteção do código, resultando em uma lacuna de risco cada vez maior para as organizações.
O estudo, conduzido pela UserEvidence, baseia-se em uma consulta com 540 líderes e profissionais de segurança de software e destaca uma desconexão crítica na área, expondo a cadeia de suprimentos de software a riscos potencialmente graves e não mitigados.
Outras revelações do relatório:
Gerenciamento de dependências é fundamental para o preparo: organizações altamente eficazes no rastreamento e gerenciamento de dependências de código aberto estão significativamente mais preparadas (85%) para proteger softwares de código aberto em comparação com a média geral (57%).
Automação acelera a correção: 60% dos entrevistados que realizam monitoramento contínuo automático relatam corrigir vulnerabilidades críticas de software em um dia. Apenas 45% dos respondentes afirmam corrigir vulnerabilidades críticas de software em um dia, demonstrando que as organizações que não implementaram o monitoramento contínuo automático estão em clara desvantagem na proteção da cadeia de suprimentos de software.
Validação de SBOMs aprimora a segurança de terceiros: validar as listas de materiais de software (SBOMs) de fornecedores externos melhora drasticamente a capacidade de uma organização de avaliar softwares contratados e de responder a vulnerabilidades críticas. Dos entrevistados que priorizam a validação de SBOMs, 63% daqueles que sempre validam SBOMs afirmam estar altamente preparados para avaliar softwares de terceiros; e 59% geralmente respondem a vulnerabilidades críticas de software em um dia.
Controles de conformidade aumentam a eficiência: organizações com mais controles de conformidade implementados demonstram maior eficiência na correção de vulnerabilidades críticas de software. Dos entrevistados que utilizam pelo menos três controles de conformidade, 49% corrigem vulnerabilidades críticas em um dia. Essa porcentagem sobe para 54% entre os entrevistados que utilizam pelo menos quatro controles de conformidade. Além disso, 35% citam a interpretação e a operacionalização de requisitos regulatórios complexos como seu maior desafio.
“Estamos em uma nova era de rápida inovação de software, impulsionada pela IA, mas essas descobertas revelam um desafio crítico: a segurança não está acompanhando o ritmo”, disse Jason Schmitt, CEO da Black Duck. “É imprescindível que as organizações priorizem estruturas de segurança robustas, com foco especial em código gerado por IA e gerenciamento meticuloso de dependências, para construir cadeias de suprimentos de software verdadeiramente resilientes.”
O relatório enfatiza também que uma cadeia de suprimentos de software resiliente vai além da mera conformidade, permitindo que as organizações abordem proativamente as vulnerabilidades, minimizem o tempo de inatividade, previnam violações de dados e, em última análise, melhorem a produtividade dos desenvolvedores e aumentem a velocidade de desenvolvimento.