AI在软件供应中的风险：公司的警报级别红色！

AI在软件供应中的风险：公司的警报级别红色！

Könnte nicht extrahiert werden, da der Text keine Adresse oder einen spezifischen Ort des Vorfalls enthält. - 在快速发展的技术世界中，安全是一个恒定的话题。鉴于人工智能（AI）的蔓延不断增加以及软件行业的渐进发展，管理风险变得越来越具有挑战性。摩根大通（JPMorgan Chase）的CISO帕特里克·佩特（Patrick Opet）的公开信说明了该行业的紧迫安全问题。它强调，30％的安全违规行为是由2025年的第三方组件引起的，这与上一年相比，令人担忧的增加了一倍。这些数字来自Verizon数据泄露调查报告2025，并表明专注于还包括外部接口的安全策略是多么重要。

在这个数字时代，AI在软件开发方面迅速发展。根据市场沙标的估计，到2028年，AI编码部门将从约40亿美元增长到近130亿美元。但是，在这一点上，很明显，AI所能提供的效率增长不会带来新的风险。 AI工具（例如Github Copilot和Amazon Q开发人员）可以帮助开发人员，但他们没有人类的判断力，可以重用代码存储库中的历史弱点。 cyberscoop 警告说，这些工具是压倒性的经典安全工具，例如SAST，DAS和SCA，并且不是为AI特定威胁而设计的。

软件供应链中的风险

但是软件供应链中的情况是什么样的？使用生成AI的组织必须调整其网络安全策略在早期阶段确定意外风险，报告当前的JFROG报告的错误表明，与上一年相比，这是6,790多个公共存储库中的2529个开放式秘密

随着AI集成到软件过程​​中，攻击区域增加。经过测试不足的AI模型可能会产生不正确的费用，这些费用被证明是安全风险。 Security insider emphasizes that evil are and that Company and secure your ML models as well as any其他软件组件。只有大约43％的公司对法规和二进制级别进行了安全扫描，这不仅忽略了潜在的风险，而且还进一步加强了它们。

降低风险的策略

该怎么办？要求组织从根本上修改其安全策略，并适应新的挑战。这包括检查AI模型的完整性，AI提出的组件的验证以及可以识别潜在数据中毒的监视过程。必须更紧密地链接网络安全和软件开发领域，以满足不断变化的威胁格局的要求。

网络安全计划应包括未来的挑战，例如通过多因素身份验证和持续威胁暴露管理（CTEM）。零信任体系结构的实施可以作为另一种保护机制。安全团队必须负责整个软件供应链，以防止对上游资产的攻击，并确保所使用的数据的完整性。

将AI集成到开发过程中是不可避免的。但是，挑战是要确保安全有效地使用这些技术 - 因为没有安全性的技术革命可以迅速成为巨大的危险。