มาดูความจริง: การพัฒนาซอฟต์แวร์เคลื่อนไหวด้วยความเร็วของ Warp ระหว่างการระเบิดของ AI และการเกิดช่องโหว่อย่างต่อเนื่องกับโอเพ่นซอร์สคุณอาจคิดว่ามันจะคมชัดด้วยทักษะความปลอดภัยทางไซเบอร์ล่าสุดจะกลายเป็นสิ่งสำคัญอันดับหนึ่งสำหรับทีมนักพัฒนา
เห็นได้ชัดว่าไม่
ข้อมูลใหม่จากรายงานโดย Snyk Ofer of Stete ofe Open Source เพิ่งลดลงและตามจริงแล้วมันทำให้คิ้วร้ายแรงขึ้น นี่แสดงให้เห็นว่า บริษัท ลดการลงทุนในเครื่องมือความปลอดภัยขั้นพื้นฐานและการฝึกอบรม
พิจารณาสิ่งที่น่าทึ่งนี้: จำนวนองค์กรได้ฝึกฝนนักพัฒนาของพวกเขาเกี่ยวกับความอ่อนแอของห่วงโซ่อุปทานซึ่งลดลงจาก 53% ในปีที่แล้วเป็น 35%
ในการต่อสู้ทั่วโลกต่อภัยคุกคามที่ซับซ้อนบนพื้นฐานของปัญญาประดิษฐ์และความเสี่ยงที่ซับซ้อนของห่วงโซ่อุปทานสิ่งนี้คล้ายกับความจริงที่ว่า บริษัท ตัดสินใจที่จะนำทางในเขตทุ่นระเบิดโดยไม่มีการ์ด … หรือวิ่งผ่าน หากทีมไม่พร้อมที่จะตรวจจับเข้าใจและรับมือกับภัยคุกคามใหม่พวกเขาจะบินตาบอด
หัวหน้าแผนกเพื่อความสัมพันธ์กับนักพัฒนาและชุมชนใน Snyk
รหัสโอเพ่นซอร์สเข้าสู่ผนังหรือไม่?
นี่ไม่ใช่แค่การฝึกอบรมที่ดูเหมือนจะล้าหลัง ความพยายามในการปรับปรุงความปลอดภัยของโอเพ่นซอร์ส – และแม้แต่ความพยายามที่กว้างขึ้นของ DevOps – สามารถหยุดได้
ในขณะที่องค์กรจำนวนมากขึ้นกำลังรายงานเพื่อติดตามการพึ่งพาซอฟต์แวร์ทั้งหมดของพวกเขาส่วนสำคัญยังคงติดตามการพึ่งพาโดยตรงเท่านั้น สิ่งนี้ทำให้เกิดจุดบอดขนาดใหญ่สำหรับความเสี่ยงที่ซ่อนอยู่ ชนกลุ่มน้อยขนาดเล็ก แต่มีนัยสำคัญไม่ได้ติดตามการพึ่งพาอาศัยกันเลย ใช่
ในขณะเดียวกันความถี่ของเรือรหัสไม่ได้ขยับ สิ่งนี้ชี้ให้เห็นว่าอุตสาหกรรมสามารถตีที่ราบสูงด้วยวิธีการ DevOps ปัจจุบันซึ่งอาจเป็นกระบวนการรักษาความปลอดภัยที่แคบ
ดูเหมือนว่าทีมกำลังดิ้นรนเพื่อยอมรับเครื่องมือความปลอดภัยขั้นพื้นฐาน เราตรวจสอบวิธีการทั่วไปแปดวิธีของแอปพลิเคชันและแต่ละวิธีก็ลดลงอย่างใจจดใจจ่อรวมถึงเครื่องมือมาตรฐานเช่นการวิเคราะห์องค์ประกอบซอฟต์แวร์ (SCA) และความปลอดภัยของแอปพลิเคชันแบบคงที่ (SAST) รายการที่จำเป็นเช่นใบอนุญาตการสแกนความลับในการสแกนความปลอดภัยของห่วงโซ่อุปทานและการวิเคราะห์การพึ่งพาถูกใช้โดยน้อยกว่าครึ่งหนึ่งของคำสั่งสัมภาษณ์
นักพัฒนาเพิ่งจมน้ำตาย?
บางทีสิ่งเหล่านี้ไม่เพียง แต่งบประมาณ บางทีนักพัฒนาอาจตกตะลึง ทำไม ความจริงที่ว่า บริษัท กำหนดเป้าหมายที่ทะเยอทะยานในการแก้ไขช่องโหว่ (SLA) แต่ทีมงานก็ไม่สามารถล้าหลังได้คือแสงสีแดง
ในหลายกรณี SLAS SLA ตอนนี้ต้องการการแก้ไขเป็นเวลาหลายวันหรือเป็นชั่วโมง อย่างไรก็ตามแม้จะมีความทะเยอทะยานเหล่านี้เป็นที่ชัดเจนว่าทีมมักจะพลาดเครื่องหมาย
กระบวนการเทคโนโลยีและปัญหาการเรียนรู้มักจะมีความผิด หากคำสั่งไม่พบใน SLA หรือไม่ใช้เครื่องมือความปลอดภัยขั้นพื้นฐานผู้นำควรถามว่า: ทำไม? เครื่องมือไม่เพียงพอหรือไม่? หรือทีมมีการฝึกอบรมไม่เพียงพอที่จะใช้สิ่งที่พวกเขามีโดยเฉพาะอย่างยิ่งเมื่อมันถูกฝังอยู่ภายใต้แพ็คเกจเปิดกว้างจำนวนมาก?
การเรียนรู้การแตก: ขาดพื้นฐาน
การขาดการฝึกอบรมเป็นปัญหาพื้นฐานที่ทำให้ทุกอย่างซับซ้อน ทีมสามารถพึ่งพาเครื่องมือสำหรับการรักษาความปลอดภัยอัตโนมัติซึ่งอาจเป็นไปได้โดยไม่ต้องเข้าใจข้อสรุปหรือข้อ จำกัด อย่างสมบูรณ์ และด้วยความช่วยเหลือของเครื่องมือ AI ที่สร้างรหัสที่มีความเสี่ยงที่อาจเกิดขึ้นการขาดการฝึกอบรมในการตรวจสอบและสร้างความมั่นใจว่าข้อสรุปนี้ต้องมีปัญหา
หากไม่มีทักษะที่เหมาะสมและข้อผิดพลาดของ AI AIPilot -aipilots ที่ยังไม่บรรลุนิติภาวะความไว้วางใจของห่วงโซ่อุปทานซอฟต์แวร์ทั้งหมด – เครื่องมือที่ซับซ้อนและองค์กรเว็บเหล่านี้เชื่อมต่อกัน – มีความเสี่ยง
เนื่องจากความปลอดภัยกำลังเคลื่อนตัวไปทางซ้ายมากขึ้นนักพัฒนาจึงถูกขอให้พิจารณาความรับผิดชอบที่ก่อนหน้านี้เป็นของทีม AppSec พิเศษ อย่างไรก็ตามหลายคนมีการศึกษาอย่างเป็นทางการเพียงเล็กน้อยในด้านการเข้ารหัสที่ปลอดภัยหรือการสร้างแบบจำลองการคุกคามและส่วนใหญ่ยังจำเป็นต้องมุ่งเน้นไปที่การใช้การใช้และความเข้าใจในการพัฒนาแบบจำลอง
บทบาทของการทำงานเปลี่ยนเร็วกว่าชื่อหลักสูตรหรือแม้แต่ประสบการณ์ที่จำเป็นสำหรับความล่าช้า บริษัท รู้วิธีการสนับสนุนนักพัฒนาอย่างเหมาะสมเพื่อที่จะประสบความสำเร็จในบทบาทขั้นสูงเหล่านี้หรือไม่?
องค์กรสามารถพิจารณาพัฒนาข้อกำหนดสำหรับการฝึกอบรมและประสบการณ์ที่เกี่ยวข้องกับบทบาทของนักพัฒนาและเผยแพร่ความเป็นผู้นำอย่างสม่ำเสมอเกี่ยวกับพนักงานใหม่ที่ควรมุ่งมั่นสู่ความสำเร็จ เมื่อพูดถึงการฝึกอบรมควรมีวงจรการตอบรับอย่างรวดเร็วเกี่ยวกับสิ่งที่เกี่ยวข้องกับธุรกิจและวิธีการใช้อย่างมีประสิทธิภาพในการพัฒนานักพัฒนาที่ยุ่ง นี่อาจหมายถึงบริบทการฝึกอบรมการไหลการสร้างแบบจำลองการแฮ็กหรือทางเลือกอื่น ๆ สำหรับกลยุทธ์การศึกษาแบบดั้งเดิม
ในที่สุดใครที่รับผิดชอบต่อความจริงที่ว่านักพัฒนาได้รับการฝึกฝนอย่างเพียงพอ? นี่คือ ciso? รองประธานฝ่ายเทคโนโลยี? ทีมจะนำไปสู่การลงมือปฏิบัติมากขึ้นหรือไม่? จะคิดยังไง …
ถึงเวลาตรวจสอบความเป็นจริง: บริษัท ควรทำอะไรตอนนี้
การเพิกเฉยต่อนี่ไม่ใช่ตัวเลือก องค์กรควรพิจารณาแนวทางของพวกเขาอย่างรอบคอบ:
- ป้องกันความเหนื่อยหน่าย: การปฏิบัติด้านความปลอดภัยที่ยั่งยืนเป็นกุญแจสำคัญ นี่คือการวิ่งมาราธอนไม่ใช่การวิ่ง เพื่อประเมินค่าปริมาณงานและกระบวนการ
- ลำดับความสำคัญอย่างชาญฉลาด: โฟกัสการควบคุมช่องโหว่ในความเสี่ยงที่สำคัญ ช่องโหว่ทั้งหมดไม่ได้ถูกสร้างขึ้นเท่ากัน ใช้การวิเคราะห์แบบองค์รวมของความเสี่ยงเมื่อติดตั้ง SLA เหล่านี้
- คุกคามพื้นฐาน: การยอมรับมาตรการความปลอดภัยขั้นพื้นฐานเช่น SCA, SAST, การติดตามการติดตามและความลับในการสแกน
- ลงทุนในคนของคุณ: ลงทุนใหม่อย่างจริงจังในการฝึกอบรมที่เหมาะสมและทันสมัย ปล่อยให้นักพัฒนาสำหรับภัยคุกคามที่พวกเขาเผชิญในวันนี้รวมถึงความเสี่ยงของ AI
- รักษารหัส AI: ปฏิบัติต่อรหัส Ai-Generated ด้วยความระมัดระวังเป็นพิเศษ ตระหนักถึงความคิดเห็นด้านความปลอดภัยที่เข้มงวด – อย่าคิดว่าปลอดภัย เขาต้องการการตรวจสอบอย่างน้อยระดับเดียวกับรหัสมนุษย์ถ้าไม่มาก
The Essence: ส่วนผสมที่อันตราย
ศรัทธามากเกินไปใน Urripe AI ช่วยให้คุณสามารถฝึกสไลด์และพลาดการตรวจสอบความปลอดภัยขั้นพื้นฐานได้หรือไม่? นี่คือการชงที่มีพิษ สิ่งนี้สร้างพายุที่สมบูรณ์แบบสำหรับช่องโหว่สำหรับการท่วมระบบนิเวศของซอฟต์แวร์ นี่ไม่ใช่แค่เชิงอรรถทางเทคนิค นี่เป็นภัยคุกคามที่แท้จริงต่อความมั่นคงและความปลอดภัยของโลกที่เกี่ยวข้องมากขึ้น การลดลงของการเรียนรู้อาจดูเหมือนว่าจะประหยัดเงินได้อย่างไร แต่สิ่งเหล่านี้เป็น บริษัท เกมที่ไม่สามารถสูญเสียได้
ตรวจสอบหลักสูตรความปลอดภัยทางไซเบอร์ออนไลน์ที่ดีที่สุดสนาม
บทความนี้ถูกสร้างขึ้นเป็นส่วนหนึ่งของช่อง TechRadarPro Expert Insights Channel ซึ่งทุกวันนี้เรามีจิตใจที่ดีที่สุดและสดใสที่สุดในอุตสาหกรรมเทคโนโลยี มุมมองที่แสดงที่นี่เป็นของผู้แต่งและไม่จำเป็นต้องเป็นมุมมองของ TechRadarPro หรือ Future PLC หากคุณสนใจที่จะแนะนำเพิ่มเติมที่นี่: ค้นหาข้อมูลเพิ่มเติม: https://www.techradar.com/news/submit-your-story-to-techradar-pro
