ענקית התוכנה הישראלית JFrog פרסמה היום את דו"ח Software Supply Chain State of the Union 2025, המצביע על איומי אבטחת מידע מתפתחים, סיכוני DevOps חדשים, פרקטיקות מומלצות, וכן איומי אבטחה משמעותיים בעידן הבינה המלאכותית.
"בעוד שארגונים רבים מיהרו לאמץ מודלים פתוחים של למידת מכונה (ML) לצורך אימוץ מהיר יותר של חדשנות, יותר משליש מהם עדיין מסתמכים על תהליכים ידניים לניהול הגישה של הארגון למודלים מאושרים ובטוחים, מה שעלול לגרום להחמצת איומים פוטנציאלים באימוץ מודלים". אומר יואב לנדמן, מייסד-שותף וסמנכ"ל הטכנולוגיה ב- JFrog.
הוא מוסיף כי "ארגונים שרוצים להצליח בעידן ה-AI חייבים לייעל את הכלים ותהליכי העבודה שלהם, באמצעות פתרונות אוטומטיים מותאמים ל-AI. זו הדרך להבטיח גמישות תוך אבטחה מרבית למיצוי פוטנציאל החדשנות שלהם".
הדו"ח כולל תובנות מלמעלה מ-1,400 אנשי פיתוח, אבטחה ותפעול מארה"ב, בריטניה, צרפת, גרמניה, הודו וישראל. זאת יחד עם נתוני שימוש במוצרי JFrog מיותר מ-7,000 לקוחות, לצד ניתוח CVE (Common Vulnerabilities and Exposures) מקורי שנערך ע"י צוות המחקר של JFrog Security. הוא מציג את האתגרים ההולכים וגוברים באבטחת שרשרת אספקת התוכנה בעידן ה-AI והאיומים המתפתחים בו.
כשהפרצה קוראת לגנב
ע"פ הדו"ח, ארבעת איומי האבטחה המשפיעים ביותר על אמינות ובטיחות תהליכי שרשרת אספקת התוכנה כוללים חולשות (CVEs), חבילות זדוניות, חשיפת סודות והגדרות אבטחה שגויות או טעויות אנוש.
לדוגמא, צוות מחקר האבטחה של JFrog זיהה 25,229 טוקנים סודיים חשופים במאגרים ציבוריים - עלייה של 64% ביחס לשנה הקודמת. הסביבה המורכבת והמתפתחת של איומי אבטחת תוכנה מקשה על שמירת אבטחה אחידה בשרשרת האספקה.
יותר מודלים = יותר פרצות אבטחה
ריבוי מודלי בינה מלאכותית ולמידת מכונה (AI/ML) הופך אותם ליעדי תקיפה מרכזיים; בשנת 2024 נוספו מעל מיליון מודלים חדשים ודאטה-סטים ל-Hugging Face, לצד עלייה של פי 6.5 במספר המודלים הזדוניים, מה שמעיד כי מודלים של AI ו-ML הפכו ליעד תקיפה מועדף.
ניהול ידני של מודלי ML מגביר את הסיכון; מרבית החברות (94%) משתמשות ברשימות מאושרות לניהול השימוש במודלי ML, אך יותר משליש (37%) מתוכן מסתמכות על מאמצים ידניים לאצירה ותחזוקה של רשימות המודלים המאושרים. התלות המוגזמת באימות ידני יוצרת אי-ודאות לגבי הדיוק והעקביות של אבטחת מודלי ML.
חוסר בסריקות אבטחה מותיר ארגונים חשופים; רק 43% מהעוסקים ב-IT דיווחו כי הארגון שלהם מבצע סריקות אבטחה, הן ברמת הקוד והן ברמת הבינארי, ירידה משמעותית מ-56% בשנה שעברה. עובדה זו מדגישה את הבעיות הקיימות בזיהוי ונטרול סיכוני אבטחת תוכנה בשלבים מוקדמים.
עלייה במספר החולשות הקריטיות ודירוגים שגויים
בשנת 2024 דווחו למעלה מ-33,000 חולשות חדשות, עלייה של 27% בהשוואה לשנת 2023, קצב צמיחה הגבוה מהעלייה במספר חבילות התוכנה החדשות (24.5%). גידול זה מגביר את העומס על מפתחים וצוותי אבטחה, ובמקרים מסוימים אף מעכב אימוץ ויישום חדשנות.
במקביל, צוות האבטחה של JFrog מצא כי רק 12% מהחולשות המוגדרות "קריטיות" מצדיקות את הציון שקיבלו, מהסיבה שניתן לנצל אותם בפועל.
ע"פ הדו"ח, דירוגים מנופחים אלה גורמים להתרעות שווא ולתופעת "עייפות חולשות" בקרב מפתחים.
"זיהינו דפוס ברור שבו גופי דירוג CVE נוטים להפריז בציונים וליצור בהלה מיותרת בתעשייה, מה שגורם למפתחים למהר לטפל בבעיות שלא בהכרח מסכנות את הארגון". אומר שחר מנשה, VP Security Research ב-JFrog.
"כאשר צוותי DevSecOps נדרשים לטפל בחולשות שאינן מהוות איום ממשי, הם מאבדים זמן ומשאבים יקרים, מה שמשבש את שגרת עבודתם ועלול לגרום לשחיקה ואף לטעויות יקרות", מסכם לנדמן.