أصبحت سلسلة التوريد البرمجية، وهي شبكة كاملة من المكونات والأدوات والعمليات المستخدمة لتطوير وبناء وتسليم البرمجيات، هدفًا جذابًا للهجمات السيبرانية.
يتيح هذا النوع من الهجمات للمهاجمين تجاوز الدفاعات التقليدية وجني مكاسب كبيرة من اختراق واحد، وفقًا لتقرير جديد لشركة Blackduck حول إدارة مخاطر سلسلة التوريد البرمجية في عالم الإصدارات السريعة.
استند التقرير إلى استطلاع شمل 540 قائدًا للأمن البرمجي، وأوضح أن ثلثي المؤسسات (65%) تعرضت لهجوم واحد على الأقل في سلسلة التوريد خلال الأشهر الـ12 الماضية.
تشمل هذه الهجمات اعتماديات ضارة (30%)، ثغرات غير مصححة (28%)، استغلالات صفرية اليوم (27%)، وحقن برمجيات خبيثة في خطوط البناء (14%)، بحسب تقرير نشره موقع “techradar” واطلعت عليه “العربية Business”.
الذكاء الاصطناعي يزيد المخاطر
أوضح التقرير أن اعتماد الذكاء الاصطناعي التوليدي (GenAI) في تطوير البرمجيات يفاقم المشكلة، حيث إن 95% من المؤسسات تستخدم أدوات ذكاء اصطناعي مثل شات جي بي تي، لكن بروتوكولات الأمان لم تواكب هذا التطور.
ورغم الثقة العالية في الأدوات، فإن التحقق الفعلي من الشيفرة منخفض للغاية، إذ إن ربع المؤسسات فقط (24%) تفحص الشيفرة الناتجة عن أدوات ذكاء اصطناعي للتحقق من الملكية الفكرية، والتراخيص، والأمان، والجودة.
عدم فحص هذه الشيفرات يترك الباب مفتوحًا للثغرات، بما في ذلك إدخال محتوى محمي بحقوق الملكية الفكرية أو كشف مفاتيح API الحساسة.
الامتثال أولًا
يشدد التقرير على أن اتباع نهج الامتثال أولًا يسرع الاستجابة للأخطار الأمنية. فالمؤسسات التي تستخدم أربعة أنواع على الأقل من ضوابط الامتثال، تتعامل مع الثغرات الحرجة بسرعة أكبر، بنسبة 54% مقارنة بـ45% من المؤسسات بشكل عام.
الأتمتة ضرورة
ويؤكد التقرير أن الاعتماد على المراقبة اليدوية الدورية، التي تمارسها 36% من المؤسسات حاليًا، غير كافٍ، بينما تعتبر المراقبة المستمرة الآلية أكثر فعالية بكثير في رصد ومنع التهديدات.
في ظل تسارع استخدام الذكاء الاصطناعي والتعقيد المتزايد لسلاسل التوريد البرمجية، يصبح تعزيز الأمان عبر الامتثال والأتمتة استراتيجية أساسية لحماية المؤسسات من الهجمات السيبرانية واسعة النطاق.