Безопасность цепочки поставок — это более широкая задача, охватывающая весь путь от создания кода до развертывания в производственной среде, включая безопасность исходного кода, безопасность сборки, безопасность артефактов, безопасность развертывания и безопасность инструментов. Слабое звено где-либо в цепочке может скомпрометировать весь процесс доставки программного обеспечения. Атака SolarWinds в 2020 году иллюстрирует разрушительное воздействие атаки на цепочку поставок, когда спонсируемые государством злоумышленники скомпрометировали конвейер сборки программного обеспечения для управления сетями Orion от SolarWinds. Многие организации остаются подверженными угрозам цепочки поставок из-за распространенных заблуждений, таких как ошибочное представление, что безопасность цепочки поставок программного обеспечения равна сканированию зависимостей, или сосредоточение только на компонентах с открытым исходным кодом. Искусственный интеллект (ИИ) создает новые векторы атак и усиливает существующие, изменяя весь жизненный цикл разработки и создавая значительные пробелы в безопасности. Организации испытывают трудности с эффективными действиями из-за четырех критических барьеров: мышление ложной экономии, реальность дефицита кадров, несогласованные организационные стимулы и перегрузка сложностью инструментов. Атаки на цепочку поставок создают риски и расходы, которые выходят далеко за рамки первоначального устранения последствий, включая затраты времени, ущерб репутации, регуляторные последствия и операционные сбои. Текущие подходы часто путают мероприятия по обеспечению безопасности с фактическим влиянием на безопасность, развертывая сканеры и генерируя длинные отчеты, которые создают больше проблем, чем решают. Чтобы добиться успеха, организации должны коренным образом переосмыслить, как безопасность интегрируется в рабочие процессы разработки, и пересмотреть сквозные рабочие процессы доставки программного обеспечения, чтобы упростить процессы, сократить количество инструментов и улучшить сотрудничество. Интегрированные платформы DevSecOps могут решить эти проблемы, интегрируя безопасность непосредственно в рабочий процесс разработки.