Opnieuw blijkt dat securityrisico’s de software supply chain domineren. JFrog benadrukt dit in het nieuw verschenen Software Supply Chain State of the Union 2025-rapport. Een kwartet aan problemen dient zich aan: kwetsbaarheden, kwaadaardige packages, blootgelegde secrets en misconfiguraties ofwel menselijke fouten.
De softwaretoeleveringsketen (software supply chain) is een even cruciale als kwetsbare schakel in moderne IT-omgevingen. Het nieuwe onderzoeksrapport van JFrog, uitgebracht tijdens KubeCon + CloudNativeCon Europe in Londen, laat zien dat organisaties worstelen met toenemende bedreigingen die versterkt worden door, hoe kan het ook anders, de opkomst van AI.
Het JFrog Software Supply Chain State of the Union-rapport combineert inzichten van meer dan 1.400 ontwikkelaars, security- en operationsprofessionals uit de VS, het VK, Frankrijk, Duitsland, India en Israël, aangevuld met gebruiksgegevens van JFrog’s 7.000+ klanten en originele CVE-analyse door het JFrog Security Research team.
Viervoudige bedreiging voor software-integriteit
Het rapport identificeert een “Quad-fecta” aan gevaren die de integriteit en veiligheid van de softwaretoeleveringsketen bedreigen: kwetsbaarheden (CVEs), kwaadaardige packages, blootgestelde secrets en configuratiefouten/menselijke fouten. JFrog’s onderzoeksteam detecteerde maar liefst 25.229 blootgestelde secrets en tokens in publieke repositories – een stijging van 64% ten opzichte van vorig jaar. Zorgwekkend is dat 27% van deze blootgestelde secrets nog actief was.
Deze verweven set van securitygevaren maakt het bijzonder moeilijk voor organisaties om hun digitale muren consistent op orde te houden. Uit eerder onderzoek (ook van JFrog zelf) bleek al dat supply chain-risico’s een groeiend probleem vormen voor bedrijven, met de inherente complexiteit van groeiende IT-systemen als fundamenteel probleem.
Explosieve groei AI-modellen en -aanvallen
Een van de nieuwste (en tegelijkertijd helaas voorspelbare) bevindingen is de explosieve groei van risico’s door en voor AI. In 2024 werden meer dan 1 miljoen nieuwe AI-modellen en datasets toegevoegd aan Hugging Face. De toename onder kwaadaardige modellen was enorm: 6,5 keer ten opzichte van 2023 in 2024.
Het rapport laat zien dat 94% van de organisaties gecertificeerde lijsten van goedgekeurde AI-modellen bijhoudt om te controleren hoe ontwikkelaars ML-artefacten gebruiken. Echter:”37% van de bedrijven vertrouwt nog steeds op handmatige inspanningen om deze lijsten samen te stellen en bij te houden, wat bezorgdheid oproept over de nauwkeurigheid en consistentie van de beveiliging van AI-modellen.
Teveel security-tools, te weinig zichtbaarheid
Bijna driekwart (73%) van de professionals in het onderzoek gebruikt zeven of meer security- of supply chain beveiligingsoplossingen, terwijl 49% zegt tien of meer tools in te zetten. Deze wildgroei aan security-tools maakt het paradoxaal genoeg moeilijker om effectief te beveiligen.
“Meer is niet altijd beter,” stelt het rapport. De toolverzameling kan organisaties kwetsbaarder maken door toenemende complexiteit voor ontwikkelaars. Tegelijkertijd blijft zichtbaarheid in de programmeercode een probleem: slechts 43% van de IT-professionals zegt dat hun organisatie securityscans op zowel code- als binair niveau toepast. Dit is een daling van 56% vergeleken met vorig jaar en wijst erop dat teams nog steeds grote blinde vlekken hebben bij het identificeren van softwarerisico’s.
Open source blijft risicofactor
Meer dan 70% van de ontwikkelaars downloadt packages rechtstreeks uit publieke repositories – een riskante praktijk die een hele organisatie kan blootstellen aan aanvallen via een enkele ontwikkelaarsmachine. Tegelijkertijd blijft het aantal kritieke kwetsbaarheden stijgen. In 2024 werden wereldwijd bijna 33.000 nieuwe CVEs bekendgemaakt, een toename van 27% ten opzichte van 2023.
Ook collega-onderzoeker Anchore trok aan de bel wat supply chain security betreft. Onderzoek uitgebracht eind 2024 toonde aan dat slechts één op de vijf organisaties een goed inzicht heeft in hun software supply chain en dat de meeste bedrijven niet weten welke componenten en dependencies in hun oplossingen zitten.
CVE-scores misleidend
Een andere bevinding komt ons zeer bekend voor, namelijk dat CVE-scores vaak misleidend kunnen zijn. JFrog’s securityonderzoekers ontdekten dat slechts 12% van de hooggeprofileerde CVE’s die als “kritiek” werden beoordeeld (CVSS tussen 9.0-10.0) daadwerkelijk exploiteerbaar waren en een risico vormden voor ontwikkelomgevingen. We hebben al eerder aangegeven dat juist de kwetsbaarheden met vrij middelmatige scores in samenwerking de grootste potentiële risico’s met zich meebrengen, niet de zwaarste privilege escalation- of RCE-gevaren die op papier het meest destructief zijn in isolement.
De aantijging vanuit JFrog op dit gebied is een serieuze. “We ontdekten een duidelijk patroon waarbij CVE-scoring organisaties scores opblazen en een onnodig paniek veroorzaken in de sector, waardoor ontwikkelaars zich haasten met herstelwerkzaamheden die uiteindelijk vaak verspilling van hun cognitieve en professionele tijd blijken te zijn,” zegt Shachar Menashe, Vice President of Security Research bij JFrog.