Rút ngắn khoảng cách bảo mật trong chuỗi cung ứng phần mềm được điều khiển bằng AI

Trong bối cảnh phát triển phần mềm ngày càng tốc độ, việc tích hợp trí tuệ nhân tạo (AI) đã trở thành xu hướng phổ biến không thể bỏ qua.

Một báo cáo từ Black Duck với tựa đề Điều hướng rủi ro chuỗi cung ứng phần mềm trong một thế giới phát hành nhanh chóng đã chỉ ra một thực trạng đáng lo ngại: dù đến 95% tổ chức đang tận dụng các công cụ AI, nhưng có tới 76% trong số đó đang đặt chuỗi cung ứng phần mềm của mình vào nguy cơ cao do thiếu sót trong các giao thức bảo mật dành cho mã nguồn do AI tạo ra.

Jason Schmitt, Giám đốc điều hành của Black Duck, nhấn mạnh: “Chúng ta đang bước vào thời kỳ đổi mới phần mềm theo tốc độ nhanh chưa từng có, được thúc đẩy bởi AI, nhưng bảo mật lại không theo kịp nhịp độ đó.” Khoảng cách này chính là lời cảnh báo mạnh mẽ về việc cần có chiến lược toàn diện để bảo vệ chuỗi cung ứng phần mềm, đặc biệt tại khu vực châu Á – nơi chuyển đổi số đang diễn ra vô cùng nhanh chóng.

Dù AI được ứng dụng rộng rãi, khảo sát chỉ ra rằng chỉ 24% tổ chức thực sự triển khai đánh giá kỹ lưỡng về sở hữu trí tuệ (IP), cấp phép, bảo mật cũng như chất lượng mã do AI tạo ra.

Thiếu sự giám sát chặt chẽ này tạo ra một lỗ hổng bảo vệ lớn, mở đường cho những rủi ro tiềm ẩn. Trong khi 76% số tổ chức tiến hành kiểm tra rủi ro bảo mật, đa phần lại không xem xét đầy đủ tính toàn vẹn của mã nguồn nền tảng.

Một điểm nổi bật trong báo cáo là vai trò then chốt của việc quản lý hiệu quả các phụ thuộc phần mềm. Những tổ chức có khả năng theo dõi và kiểm soát chặt chẽ các thành phần nguồn mở thuộc chuỗi phần mềm tăng khả năng bảo mật lên đến 85%, cao hơn hẳn so với mức trung bình 57%. Điều này đặt ra yêu cầu cấp thiết cho các nhà lãnh đạo chuỗi cung ứng phải nâng cao giám sát và kiểm soát với các thành phần phần mềm bên thứ ba.

Đáng chú ý, báo cáo cũng nhấn mạnh tầm quan trọng của việc xác thực Hóa đơn vật liệu phần mềm (SBOM) từ các nhà cung cấp bên ngoài. Các tổ chức ưu tiên kiểm tra SBOM thường cải thiện khả năng đánh giá phần mềm bên thứ ba và phản ứng nhanh với các lỗ hổng. Cụ thể, 59% có thể xử lý các vấn đề nghiêm trọng trong vòng một ngày, nổi bật hơn hẳn so với những đơn vị không áp dụng xác thực SBOM.

Tự động hóa cũng được xem là yếu tố then chốt trong việc xử lý lỗ hổng hiệu quả. Trong số các tổ chức sử dụng giám sát tự động liên tục, có đến 60% cho biết đã khắc phục các lỗ hổng phần mềm nghiêm trọng trong vòng một ngày. Trong khi đó, tỷ lệ này ở nhóm không áp dụng tự động hóa chỉ là 45%, phản ánh rõ việc thiếu quy trình tự động làm suy yếu hiệu suất bảo mật chuỗi cung ứng.

Đối với các nhà lãnh đạo chuỗi cung ứng và COO tại châu Á, thông điệp rất rõ: khi AI ngày càng phổ biến mạnh mẽ, thì cam kết về các khung bảo mật cũng phải được nâng cao tương xứng. Bằng cách ưu tiên bảo vệ mã do AI tạo ra và tăng cường quản lý các phụ thuộc phần mềm, tổ chức hoàn toàn có thể xây dựng một chuỗi cung ứng phần mềm dẻo dai, đủ sức đối mặt với những rủi ro và thách thức ngày càng phức tạp.