Репортаж от Wedoany，На мероприятии Sparrow Application Insights (SAI) 2026 Чан Иль-су, представитель южнокорейской компании по безопасности приложений Sparrow, заявил 11-го числа, что команда больше не использует должность «разработчик», а перешла на «инженер искусственного интеллекта (ИИ)». Это изменение отражает смещение фокуса на комплексное использование моделей ИИ и агентов для операций и верификации, направленное на повышение возможностей использования и проверки ИИ-приложений.

Недавно Sparrow провела в отеле Nine Tree Premier Rocause Hotel в районе Йонсан, Сеул, мероприятие для клиентов SAI 2026 на тему «Безопасность цепочки поставок программного обеспечения через инновации ИИ», на котором были представлены концепции в области видения ИИ и решений безопасности. Чан Иль-су отметил, что с углублением применения ИИ внутренним командам разработчиков становится сложно отслеживать детали кода или библиотек, которые они не писали напрямую, что приводит к росту угроз безопасности цепочки поставок. Он указал, что непрозрачность информации об уязвимостях и лицензиях приводит к задержкам реагирования организации при возникновении проблем, что не позволяет эффективно противодействовать и выявлять коренные причины.

Он подчеркнул необходимость автоматизации безопасности на протяжении всего жизненного цикла разработки и обратил внимание на то, как использовать инструменты для предотвращения угроз безопасности на ранних этапах. Чан Иль-су представил интегрированное видение безопасности цепочки поставок, разработанное Sparrow, отметив, что создание и предоставление списка SBOM (Software Bill of Materials) — это лишь базовый этап. Настоящая безопасность цепочки поставок требует, чтобы все содержимое проходило ручную проверку, общие данные не подвергались искажению или повреждению, а весь процесс был визуализирован. Даже при использовании внешнего кода с открытым исходным кодом или кода, сгенерированного ИИ, необходимо строгое управление импортом и анализ уязвимостей безопасности.

Для достижения этих целей Чан Иль-су предложил использовать протокол MCP от Sparrow для обеспечения безопасности кода и процесса внедрения безопасности цепочки поставок. В частности, код, написанный разработчиками, должен проходить проверку безопасности с помощью статического анализатора SAST от Sparrow, при создании соответствующего SBOM следует использовать SCA от Sparrow, а весь процесс передачи должен быть автоматизирован. SCA от Sparrow — это решение для управления открытым исходным кодом, которое диагностирует содержимое открытого кода в исходном коде или двоичных файлах, предоставляя информацию о лицензиях и уязвимостях; SAST от Sparrow используется для анализа уязвимостей исходного кода и предоставления исправлений.

В рамках мероприятия также состоялась специальная сессия вопросов и ответов с участием Ли Ман-хи, профессора компьютерной инженерии Университета Ханнам и председателя комитета по исследованию безопасности цепочки поставок Корейского института защиты информации, и Чан Иль-су. Чан Иль-су задал вопрос о том, как стороны, нуждающиеся в безопасности цепочки поставок, и поставщики должны готовиться к будущей политике. Ли Ман-хи ответил, что правительство возглавит создание системы управления кризисами в области безопасности цепочки поставок, и поскольку отдельные компании имеют ограниченные возможности для борьбы с уязвимостями, будет построена национальная система реагирования. Он прогнозирует, что текущий год станет первым годом реагирования на уязвимости цепочки поставок, а в 2027–2028 годах начнется этап полноценного внедрения. Комитет по исследованию безопасности цепочки поставок Корейского института защиты информации проведет семинар 24–25 числа этого месяца, на котором компании смогут получить идеи для стратегий реагирования.

Отвечая на вопрос о том, как компании, использующие оригинальный открытый исходный код, могут сократить количество атак нулевого дня в эпоху ИИ при большом количестве уязвимостей, Ли Ман-хи отметил, что отдельные компании не могут справиться с большим объемом уязвимостей в одиночку. Правительство разработало комплексные меры на основе ИИ: при раскрытии основных уязвимостей необходимо задействовать национальные возможности моделей ИИ для приоритизации, быстрого создания и развертывания патчей, формируя эффективную систему исправлений.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com