L’incremento della minaccia agli approvvigionamenti si è manifestato mano a mano che i criminali informatici diventavano sempre più abili nell’approfittare delle dipendenze presenti nei servizi software che utilizzano librerie open source. Tuttavia, le aziende non hanno reagito abbastanza rapidamente nell’adottare misure di sicurezza adeguate.
Chris Krebs, il primo direttore dell’US Cybersecurity and Infrastructure Security Agency (CISA), ha sottolineato questa crescente vulnerabilità nel suo discorso alla conferenza BlackHat. “Le aziende che distribuiscono software sono diventate obiettivi primari”, ha avvertito Krebs, un avvertimento che è stato recentemente sottolineato anche dalla Casa Bianca, che ha annunciato una strategia nazionale di sicurezza informatica, mettendo l’accento sulla resilienza informatica e sulla responsabilità delle aziende software per la sicurezza dei loro prodotti.
I team DevOps si trovano sotto pressione per consegnare più applicazioni contenenti modelli di machine learning in tempi sempre più stretti per sostenere nuove fonti di reddito e esperienze digitali orientate al cliente. I leader DevOps affermano che spesso i controlli di sicurezza vengono messi da parte per rispettare le scadenze di rilascio del codice. VentureBeat ha scoperto che un team DevOps tipico in un’azienda da 600 milioni di dollari gestisce oltre 250 progetti contemporaneamente, di cui oltre il 70% è dedicato a migliorare e proteggere le esperienze digitali dei clienti.
La sicurezza è sacrificata a favore della velocità poiché la maggior parte dei team DevOps ha un accumulo di nuove applicazioni per la trasformazione digitale supportate da modelli di machine learning che sono in ritardo rispetto alla pianificazione. Inoltre, le applicazioni per i test di sicurezza sono separate dal processo DevOps, e gli ingegneri spesso non sono formati per integrare la sicurezza nel codice durante lo sviluppo. L’uso del codice open source risparmia tempo e denaro, ma introduce anche nuovi rischi. Il 97% del codice commerciale contiene codice open source, e l’81% di esso presenta almeno una vulnerabilità. Inoltre, il 53% dei codici base analizzati aveva conflitti di licenza, e l’85% era obsoleto da almeno quattro anni.
JFrog, leader nella fornitura di sicurezza per la catena di approvvigionamento software per i DevOps, è ben consapevole di queste sfide. Oggi, l’azienda ha annunciato una serie di nuovi prodotti e miglioramenti durante la conferenza swampUP del 2023. Tra gli annunci più significativi ci sono quelli riguardanti la gestione dei modelli di machine learning, compresa la scansione per verificare la conformità, il rilevamento di modelli dannosi e la gestione della distribuzione dei modelli insieme ai rilasci del software.
“Attualmente, i data scientist, gli ingegneri di machine learning e i team DevOps non hanno un processo comune per la distribuzione del software. Spesso ciò causa attriti tra i team, difficoltà di scalabilità e mancanza di standard nella gestione e nella conformità del portafoglio”, ha affermato Yoav Landman, cofondatore e CTO di JFrog. “Gli artefatti dei modelli di machine learning non sono completi senza Python e altri pacchetti di cui dipendono e spesso vengono forniti tramite contenitori Docker. I nostri clienti già considerano JFrog come il riferimento standard per la gestione degli artefatti e i processi DevSecOps. I data scientist e gli ingegneri del software sono i creatori delle moderne funzionalità di intelligenza artificiale e sono già utenti nativi di JFrog. Pertanto, consideriamo questa versione come il prossimo passo logico per noi, introducendo la gestione dei modelli di machine learning, oltre alla sicurezza e alla conformità dei modelli.”
Inoltre, l’azienda ha lanciato una nuova piattaforma di sicurezza che offre protezione end-to-end durante l’intero ciclo di vita dello sviluppo del software, dal codice all’esecuzione. Le nuove funzionalità includono la scansione SAST, un catalogo OSS come parte di JFrog Curation e la sicurezza dei modelli di machine learning. Altre nuove caratteristiche comprendono la gestione del ciclo di vita del rilascio per tenere traccia dei pacchetti software e miglioramenti nelle funzionalità DevOps come i pacchetti di rilascio immutabili.
La strategia di JFrog si concentra sull’unificazione e sulla razionalizzazione dell’intero ciclo di vita dello sviluppo software all’interno di una singola piattaforma. Come dimostrato dai risultati ottenuti presso Hitachi Vantara, JFrog Artifactory funge da “fonte unica di verità” per la gestione dei file binari e degli artefatti software all’interno dell’organizzazione, offrendo contemporaneamente una scansione di sicurezza coerente con JFrog Xray. Replicando i repository chiave su più siti, JFrog ha permesso a Hitachi Vantara di accelerare le pipeline multisito e spostare la sicurezza a sinistra.
La piattaforma unificata di JFrog per la catena di approvvigionamento software gestisce e protegge il ciclo di vita dello sviluppo software, dal codice all’esecuzione, attraverso repository, strumenti di sviluppo, pipeline e controlli di sicurezza.
Ciò che rende notevole l’annuncio di JFrog è il modo in cui stanno sviluppando la sicurezza e l’integrità del codice sin dal primo commit del codice sorgente fino alla creazione, al test, alla distribuzione e all’esecuzione dei modelli di machine learning.
“Implementare modelli di machine learning in produzione dall’inizio alla fine può richiedere molto tempo ed energia. Tuttavia, anche una volta in produzione, gli utenti devono affrontare sfide legate alle prestazioni del modello, alla deriva del modello e ai bias”, ha affermato Jim Mercer, Research Vice President, DevOps & DevSecOps, IDC. Pertanto, avere un unico sistema di registrazione che può automatizzare lo sviluppo, la gestione continua e la sicurezza dei modelli di machine learning, insieme a tutti gli altri componenti delle applicazioni, offre un’alternativa interessante per ottimizzare il processo.
I team DevOps, ingegneristici e di gestione del prodotto di JFrog meritano elogi per aver integrato le tecniche di intelligenza artificiale/machine learning per migliorare la conformità, la codifica, la produttività degli sviluppatori e il rilevamento delle minacce nella loro piattaforma, rafforzando questi aspetti nell’ultima versione. La tabella seguente confronta i progressi compiuti da JFrog nella fornitura di soluzioni in grado di soddisfare i principali attributi di sicurezza della catena di approvvigionamento software, che i CISO, i CIOS e i consigli di amministrazione cercano nella protezione delle pipeline e dei processi CI/CD.
Le minacce basate sui modelli di machine learning continueranno ad aumentare, poiché gli aggressori cercheranno di sfruttare l’intelligenza artificiale in ogni occasione. Le numerose vulnerabilità nelle catene di approvvigionamento software influenzano direttamente la produttività dei team che sviluppano modelli di machine learning per la produzione e il loro ampio utilizzo oggi.
L’approccio di JFrog, che mira a sviluppare una piattaforma che combini i principi fondamentali di DevSecOps per fornire una visione e un controllo end-to-end dei modelli di machine learning, sta definendo il futuro delle catene di approvvigionamento software sicure. Ogni CISO, leader DevOps e CEO scommette sul fatto che la sicurezza dei modelli di machine learning deve continuare a evolversi per stare al passo con le minacce, e che le architetture di piattaforma come quella proposta da JFrog stanno ridefinendo il modo in cui proteggono su larga scala i modelli di machine learning. Questo è fondamentale per il futuro delle catene di approvvigionamento software sicure.