: Les nomenclatures logicielles (SBOM) sont essentielles pour garantir une chaîne d'approvisionnement logicielle sécurisée, mais seulement 35 % des professionnels de la sécurité déclarent que leurs organisations les produisent. En outre, seuls 40 % d'entre eux déclarent arrêter immédiatement l'utilisation d'un logiciel si le fournisseur ne fournit pas le SBOM demandé. Les principales raisons pour lesquelles les organisations produisent des SBOM sont la gestion générale des dépendances et des vulnérabilités (50 %), les réglementations industrielles (39 %), les exigences des clients (38 %) et les exigences gouvernementales (38 %). Les vulnérabilités des logiciels open-source restent un risque important : Près des deux tiers (65 %) des personnes interrogées déclarent utiliser des logiciels open-source, mais moins de la moitié d'entre elles (47 %) affirment que leur entreprise est très efficace ou très efficace pour les sécuriser dans la chaîne d'approvisionnement.

La majorité des organisations mondiales (54 %) ont subi une attaque de la chaîne d'approvisionnement des logiciels au cours de l'année écoulée, et la plupart d'entre elles ne sont pas en mesure de faire face à l'évolution des risques. C'est ce qui ressort du rapport "The State of Software Supply Chain Security Risk", publié par Synopsys, Inc. et le Ponemon Institute, qui révèle également que 50 % des entreprises ont mis plus d'un mois à réagir à une attaque. Une entreprise sur cinq déclare que son organisation n'est pas efficace dans sa capacité à détecter et à répondre à ces attaques.Les données montrent également que l'IA devient omniprésente dans le cycle de développement des logiciels. La majorité des professionnels de la sécurité (52 %) affirment que leurs équipes de développement utilisent des outils d'IA pour générer du code, en particulier OpenAI Codex (50 %), ChatGPT (45 %) et GitHub Copilot (43 %). Si l'utilisation de l'IA permet de réaliser des gains d'efficacité en automatisant la prise de décision, les résultats indiquent que peu de protections sont mises en place, ce qui est préoccupant. Seul un tiers (32 %) des organisations disposent de processus permettant d'évaluer le code généré par l'IA en termes de licence, de sécurité et de risques de qualité.Les répondants à l'enquête ont également fait état d'un manque d'engagement inquiétant de la part des décideurs lorsqu'il s'agit d'atténuer ces problèmes. Seuls 39 % d'entre eux déclarent que les dirigeants de leur organisation sont très engagés dans la réduction du risque de logiciels malveillants dans les chaînes d'approvisionnement en logiciels. Même si 45 % des professionnels de la sécurité affirment que les compromissions de la chaîne d'approvisionnement telles que celles de SolarWinds ont entraîné une augmentation des investissements dans la sécurité de la chaîne d'approvisionnement des logiciels, seuls 38 % d'entre eux estiment que les ressources consacrées à la sécurisation de la chaîne d'approvisionnement sont suffisantes ou très suffisantes.", a déclaré Jason Schmitt, directeur général du Software Integrity Group de Synopsys. "Voici d'autres résultats clés :Catalyseur de l'ère de l'intelligence omniprésente, Synopsys, Inc. fournit des solutions fiables et complètes de conception du silicium aux systèmes, de l'automatisation de la conception électronique à la propriété intellectuelle du silicium, en passant par la vérification et la validation des systèmes. Ils travaillent en étroite collaboration avec des clients du secteur des semi-conducteurs et des systèmes dans un large éventail d'industries afin d'optimiser leur capacité et leur productivité en matière de recherche et de développement, en favorisant l'innovation d'aujourd'hui pour stimuler l'ingéniosité de demain.Pensez-vous que ce rapport est crédible ou pertinente ?Quel est votre avis sur le sujet ?