サプライチェーンセキュリティは、コード作成から本番デプロイまでの全行程を網羅する、より広範な課題であり、ソースセキュリティ、ビルドセキュリティ、アーティファクトセキュリティ、デプロイメントセキュリティ、ツールセキュリティなどが含まれます。チェーンのどこか一箇所に弱点があれば、ソフトウェアデリバリープロセス全体が侵害される可能性があります。2020年のSolarWinds攻撃は、サプライチェーン攻撃の壊滅的な影響を例示しています。この攻撃では、国家支援の攻撃者がSolarWindsのOrionネットワーク管理ソフトウェアのビルドパイプラインを侵害しました。多くの組織が、ソフトウェアサプライチェーンセキュリティは依存関係スキャンと同義であると考えたり、オープンソースコンポーネントのみに焦点を当てたりする一般的な誤解のために、サプライチェーンの脅威にさらされたままです。人工知能（AI）は、新しい攻撃ベクトルを導入し、既存の攻撃ベクトルを増幅させ、開発ライフサイクル全体を再形成し、重大なセキュリティの盲点をもたらしています。組織は、偽の経済的合理性、スキル不足の現実、組織のインセンティブの不一致、ツールの複雑さの過負荷という4つの重要な障壁のために、効果的に行動するのに苦労しています。サプライチェーン攻撃は、初期の修復を超えて、時間、評判の低下、規制の現実、運用の中断など、リスクと費用を生み出します。現在の取り組みは、スキャナーをデプロイし、問題を解決するよりも多くの問題を生み出す長いレポートを生成することで、セキュリティ活動とセキュリティインパクトを混同することがよくあります。成功するためには、組織は、セキュリティが開発ワークフローにどのように統合されるかを根本的に再考し、エンドツーエンドのソフトウェアデリバリーワークフローを見直して、プロセスを簡素化し、ツールを削減し、コラボレーションを改善する必要があります。統合されたDevSecOpsプラットフォームは、セキュリティを開発ワークフローに直接取り込むことで、これらの課題に対処できます。