La sécurité de la chaîne d'approvisionnement est un défi plus large qui englobe tout le parcours, du développement du code à la mise en production, y compris la sécurité des sources, la sécurité de la construction, la sécurité des artefacts, la sécurité de la mise en production et la sécurité des outils. Une faiblesse n'importe où dans la chaîne peut compromettre l'ensemble du processus de livraison de logiciels. L'attaque de SolarWinds en 2020 illustre l'impact dévastateur d'une attaque de la chaîne d'approvisionnement, où des attaquants parrainés par l'État ont compromis la pipeline de construction du logiciel de gestion de réseau Orion de SolarWinds. De nombreuses organisations restent exposées aux menaces de la chaîne d'approvisionnement en raison de conceptions erronées courantes, telles que la pensée que la sécurité de la chaîne d'approvisionnement de logiciels est équivalente à la vérification des dépendances ou la focalisation uniquement sur les composants open source. L'intelligence artificielle (IA) introduit de nouveaux vecteurs d'attaque et amplifie les existants, remodelant l'ensemble du cycle de développement et créant des points aveugles de sécurité importants. Les organisations ont du mal à agir efficacement en raison de quatre barrières critiques : la mentalité de fausse économie, la réalité de la pénurie de compétences, les incitations organisationnelles mal alignées et la surcharge de complexité des outils. Les attaques de la chaîne d'approvisionnement créent des risques et des coûts qui s'étendent bien au-delà de la remédiation initiale, notamment le temps, les dommages à la réputation, la réalité réglementaire et la perturbation opérationnelle. Les approches actuelles confondent souvent l'activité de sécurité avec l'impact de la sécurité, déployant des scanners et générant des rapports longs qui créent plus de problèmes qu'ils ne les résolvent. Pour réussir, les organisations doivent fondamentalement repenser comment la sécurité s'intègre aux flux de travail de développement et examiner les flux de travail de livraison de logiciels de bout en bout pour simplifier les processus, réduire les outils et améliorer la collaboration. Les plateformes DevSecOps intégrées peuvent répondre à ces défis en intégrant directement la sécurité dans le flux de travail de développement.