Premalo podjetij ima nadzor nad celovitim celovitim ciklom programske opreme

V zadnjih nekaj letih so odmevni incidenti na področju varnosti programske dobavne verige usmerili več pozornosti na potrebo po preglednosti in nadzoru v tej sferi. Kljub temu se kaže, da prizadevanja ne prinašajo vedno želenih rezultatov. Nova raziskava podjetja Anchore za leto 2024 razkriva, da le ena od petih organizacij meni, da ima popolno preglednost nad vsemi komponentami in odvisnostmi v svoji programski opremi.

Poročilo navaja, da manj kot polovica anketirancev sledi najboljšim praksam za varnost dobavne verige, kot je ustvarjanje programske opreme kot zbrike programskih sestavin (SBOM; software bill-of-materials). Pri lastno razviti programski opremi to prakso uporablja 49 % anketirancev, pri odprtokodnih projektih pa 45 %. Le 41 % anketirancev zahteva SBOM od tretjih ponudnikov. Kljub nizkim številkam gre za izboljšanje glede na leto 2022, ko je te prakse upoštevala manj kot tretjina anketirancev.

Pozitivno pa je, da 78 % anketirancev načrtuje povečanje uporabe SBOM-ov v naslednjih 18 mesecih, 32 % pa jih pričakuje znatno povečanje. SBOM je ključna komponenta za preglednost in razumevanje ranljivosti ter tveganj programske opreme.

Trenutno 76 % anketirancev postavlja varnost programske dobavne verige med svoje prednostne naloge. To je pogosto posledica skladnosti z regulativnimi standardi, saj povprečna organizacija upošteva skoraj pet različnih predpisov. To povečuje pritisk na ustrezno upravljanje varnosti.

Več kot polovica anketiranih podjetij (51 %) ima medresorsko ekipo za varnost dobavne verige, medtem ko 8 % podjetij vzdržuje popolnoma namensko ekipo, kar kaže na rast pomena te problematike. Dodatni izziv pa postaja vključevanje umetne inteligence (AI) v programske knjižnice, saj 77 % anketirancev izraža zaskrbljenost glede vpliva vgrajenih AI knjižnic na varnost.