דו"ח אבטחת שרשרת אספקת התוכנה לשנת 2025 חושף "רביעיית" פרצות אבטחה, דירוגי CVE שגויים וניהול כושל של מודלים מבוססי למידת מכונה – המאיימים על האמון בתוכנות חדשות.
ענקית התוכנה הישראלית JFrog (נאסד"ק: FROG), פרסמה היום את דו"ח Software Supply Chain State of the Union 2025, המצביע על איומי אבטחת מידע מתפתחים, סיכוני DevOps חדשים, פרקטיקות מומלצות, וכן איומי אבטחה משמעותיים בעידן הבינה המלאכותית.
"בעוד שארגונים רבים מיהרו לאמץ מודלים פתוחים של למידת מכונה (ML) לצורך אימוץ מהיר יותר של חדשנות, יותר משליש מהם עדיין מסתמכים על תהליכים ידניים לניהול הגישה של הארגון למודלים מאושרים ובטוחים, מה שעלול לגרום להחמצת איומים פוטנציאלים באימוץ מודלים". אומר יואב לנדמן, מייסד-שותף וסמנכ"ל הטכנולוגיה ב- JFrog. "ארגונים שרוצים להצליח בעידן ה-AI חייבים לייעל את הכלים ותהליכי העבודה שלהם, באמצעות פתרונות אוטומטיים מותאמים ל-AI. זו הדרך להבטיח גמישות תוך אבטחה מרבית למיצוי פוטנציאל החדשנות שלהם".
דו"ח Software Supply Chain State of the Union של JFrog כולל תובנות מלמעלה מ-1,400 אנשי פיתוח, אבטחה ותפעול מארה"ב, בריטניה, צרפת, גרמניה, הודו וישראל. זאת יחד עם נתוני שימוש במוצרי JFrog מיותר מ-7,000 לקוחות, לצד ניתוח CVE מקורי שנערך ע"י צוות המחקר של JFrog Security. הדו"ח מציג את האתגרים ההולכים וגוברים באבטחת שרשרת אספקת התוכנה בעידן ה-AI והאיומים המתפתחים בו.
ע"פ הדו"ח, 4 איומי האבטחה המשפיעים ביותר על אמינות ובטיחות תהליכי שרשרת אספקת התוכנה כוללים חולשות (CVEs), חבילות זדוניות, חשיפת סודות והגדרות אבטחה שגויות/טעויות אנוש). לדוגמא, צוות מחקר האבטחה של JFrog זיהה 25,229 סודות/טוקנים חשופים במאגרים ציבוריים -עלייה של 64% בשנה. הסביבה המורכבת והמתפתחת של איומי אבטחת תוכנה מקשה על שמירת אבטחה אחידה בשרשרת האספקה.
בשנת 2024 נוספו מעל מיליון מודלים חדשים ודאטה-סטים ל-Hugging Face, לצד עלייה של פי 6.5 במספר המודלים הזדוניים, מה שמעיד כי מודלים של AI ו-ML הפכו לווקטור תקיפה מועדף על תוקפים.
מרבית החברות (94%) משתמשות ברשימות מאושרות לניהול השימוש במודלי ML, אך יותר משליש (37%) מתוכן מסתמכות על מאמצים ידניים לאצירה ותחזוקה של רשימות המודלים המאושרים. התלות המוגזמת באימות ידני יוצרת אי-ודאות לגבי הדיוק והעקביות של אבטחת מודלי ML.
רק 43% מהעוסקים ב-IT דיווחו כי הארגון שלהם מבצע סריקות אבטחה, הן ברמת הקוד והן ברמת הבינארי, ירידה משמעותית מ-56% בשנה שעברה. עובדה זו מדגישה את הבעיות הקיימות בזיהוי ונטרול סיכוני אבטחת תוכנה בשלבים מוקדמים.
בשנת 2024 דווחו למעלה מ-33,000 CVEs חדשים, עלייה של 27% בהשוואה לשנת 2023, קצב צמיחה הגבוה מהעלייה במספר חבילות התוכנה החדשות (24.5%). גידול זה מגביר את העומס על מפתחים וצוותי אבטחה, ובמקרים מסוימים אף מעכב אימוץ ויישום חדשנות. במקביל, צוות האבטחה של JFrog מצא כי רק 12% מה-CVEs בעלי דירוג "קריטי" (CVSS 9.0-10.0) מצדיקים את הציון הקריטי שקיבלו, מהסיבה שניתן לנצל אותם בפועל. ע"פ הדו"ח, דירוגים מנופחים אלה גורמים להתרעות שווא ולתופעת "עייפות חולשות" בקרב מפתחים.
"זיהינו דפוס ברור שבו גופי דירוג CVE נוטים להפריז בציונים וליצור בהלה מיותרת בתעשייה, מה שגורם למפתחים למהר לטפל בבעיות שלא בהכרח מסכנות את הארגון". אומר שחר מנשה, VP Security Research ב-JFrog. "כאשר צוותי DevSecOps נדרשים לטפל בחולשות שאינן מהוות איום ממשי, הם מאבדים זמן ומשאבים יקרים, מה שמשבש את שגרת עבודתם ועלול לגרום לשחיקה ואף לטעויות יקרות".
Oops! Something went wrong while submitting the form