- Legit Securityの報告によると、調査した全ての企業で重大なリスクが見つかった。
- アプリケーション開発インフラには著しいセキュリティリスクが存在し、Legit Securityの調査では、調査したすべての企業の開発環境に高いまたは重大なリスクが見つかった。
- 報告によると、89%の企業がパイプラインの設定ミスを抱えており、46%がAIモデルをソースコード内でリスクのある方法で使用している。
- Legitは、セキュリティチームがAIの使用場所を把握していないことを指摘し、この技術がアプリケーションセキュリティにとって新たな脅威となっている。
- 企業はソースコードに「秘密情報」をハードコードしないようにし、パスワードマネージャーや環境変数を使用することが勧められている。
- 調査では、開発チームの85%が過剰許可を持っており、23%のリポジトリには本来ない場所で管理者権限を持つ外部サプライヤーや共同作業者が存在していることが判明した。
- ほとんどの企業が非効率なアプリケーションセキュリティスキャンを使用しており、78%が重複したソフトウェア構成解析スキャナーを使用している。
私の考え:セキュリティリスクは急速に進化し、アプリケーションセキュリティにおける課題はますます複雑化しています。Legit Securityの報告は、企業が開発環境とCI/CDパイプラインにおけるリスクを見落としており、サプライチェーン攻撃を招いていることを浮き彫りにしています。特にAIの使用がセキュリティ上の脅威となっていることには警戒が必要です。企業はセキュリティ意識を高め、適切な対策を講じることが重要です。
元記事: https://www.itpro.com/security/developers-cant-get-a-handle-on-application-security-risks