Kötü tanımlanmış sorumluluklar, güvenlik yerine özelliklere öncelik veren teşvikler ve eğitim eksikliği dahil olmak üzere çeşitli kültürel faktörler güvenli kod üretmenin önüne geçmeye devam ediyor. üretim kodunda kalma testi.
Yazılım geliştirme ve devreye almanın bölünmüş doğası, uygulama güvenliği firması Checkmarx tarafından yürütülen bu yılki “AppSec’in Küresel Nabzı” anketine verilen yanıtlarda açıkça görülüyor: Geliştiricilerin yüzde otuz sekizi, uygulama güvenliğine yönelik en önemli zorluk olarak daha yavaş dağıtımı sorumlu tutarken, 41’i Uygulama güvenliği yöneticilerinin %’si, araçların geliştiriciler tarafından benimsenmemesini sorumlu tuttu. Buna rağmen, firmaya göre yazılım geliştiricilerin %93’ü, uygulamalarının güvenli olduğundan emin olduklarını veya çok emin olduklarını söylediler; bu oran geçen yıl %81’di.
Checkmarx CEO’su Sandeep Johri, anket şirketlerin güvenliğe odaklandığını gösterse de, çoğunun olması gereken olgunluk düzeyine yakın olmadığını söylüyor.
“İyileşiyorlar, ancak çoğu yeterince iyi olmaktan çok uzak” diyor. “Bazı olağanüstü güvenlik ve DevSecOps ekipleri görüyoruz, ancak birçok ekibin güvenlik açıklarını yakalamada son derece etkili olma yolculuğuna devam edecek bir yolu var.”
Güvenlik açığı bulunan uygulamaların sürekli olarak piyasaya sürülmesinde kültürel faktörlerin teknoloji sorunlarından daha ağır bastığı görülüyor. Güvenlikten en çok kimin sorumlu olduğunu belirlemek bile çoğu şirket için zor bir iştir. Checkmarx raporuna göre, baş bilgi güvenliği görevlilerinin üçte birinden fazlası (%36) uygulama güvenliğinden en fazla sorumlu olanlar olarak AppSec ekiplerini, dörtte birinden fazlası (%28) operasyon ekiplerini ve %20’si geliştiricileri işaret etti. .
Genel olarak, güvenlik açıklarına sahip uygulamaların payı arttı. “Açık Kaynak Güvenliği”ne göre, 2022’de uygulamaların %84’ü, 2020’ye bağlı olsa da şimdiye kadarki en yüksek seviye olan en az bir güvenlik açığına sahipken, uygulamaların %48’i 2020’den düşerek 2018’den daha yüksek, yüksek riskli bir güvenlik açığına sahipti. Uygulama güvenlik firması Synopsys tarafından yayınlanan “Risk Analizi” (OSSRA) raporu.
İyi haber şu ki, taramalar, uygulama güvenlik araçlarının güvenlik açıklarının üretime geçmesine izin vermek yerine boru hattındaki güvenlik açıklarını yakaladığını gösteriyor.
Synopsys’de yardımcı baş danışman olan Nivedita Murthy, “DevOps ekipleri, güvenlik açıklarını ortaya çıkmadan önce yakalama konusunda kesinlikle daha iyi hale geliyor çünkü boru hattında özel uygulama güvenlik araçlarının benimsenmesi arttı” diyor.
‘Balayı Dönemi’ Bitiyor mu?
Yine de pek çok geliştirme ekibi ya güvenliğe odaklanmıyor ya da daha iyi güvenlik peşinde koşacak kurumsal desteğe sahip değil. Checkmarx’ın anketine yanıt verenlerin yaklaşık dörtte biri (%23) sıklıkla güvenlik açığı olduğu bilinen kodu üretime geçirdiklerini, örneğin ek olarak %45’lik bir oranın bazen bilinen güvenlik açığı kodunu gönderdiklerini belirtti.
Başka bir uygulama güvenlik firması olan Veracode’un müşterileri tarafından gerçekleştirilen taramalardan elde edilen veriler, uygulamaların yaklaşık %23’ünün kusurlarının devam ettiğini gösteriyor. — bir yazılım uygulamasındaki güvenlik açıklarının yaşam döngüsüne farklı bir yaklaşım. Veracode Pazar İstihbarat Başkanı Robert Rheme, tipik olarak, bir şirket bir yazılım analizi araç setini benimsedikten sonra ani bir düşüş eğilimi olduğunu ve ardından genellikle daha az kusurun ortaya çıktığı iki yıllık bir dönem olduğunu söylüyor.
“Bunun, kusur borcunu yakmak için kurumsal bir irade olduğundan şüpheleniyoruz ve ardından istikrarlı bir duruma ulaşılıyor” diyor. “Bu ilk iki yıllık ‘balayı döneminden’ sonra, uygulamalar daha fazla kusur biriktirme ve daha fazla kusur getirme eğilimindedir.”
Güvenlik açıklarındaki artış – ve yazılımın güvenliğini sağlama girişimlerinin dayanma gücünün olmaması – geliştiricilerin değişen rollerinden kaynaklanıyor olabilir. Synopsys’ten Murthy, çoğu şirketin kurumsal bilgiyi korumanın bir yolu olmadığı için, geliştiriciler ayrıldığında veya başka projelere geçtiğinde güvenlik bilgisi genellikle kayboluyor diyor.
“Şirketler AppSec’te daha iyi hale gelirken ve en kritik güvenlik açıklarını yakalarken, geliştirme ekipleri genellikle hızlı bir şekilde değiştiğinden ve güvenlik açıklarının zaman içinde azaltılmasını sağlamak için uygulanan sürdürülebilir bir öğrenme deneyimi olmadığından, iyileştirme ve azaltma için hala uzun bir yol var. ,” diyor.
Geliştirici Davranışı Önemlidir
Yazılımın güvenliği konusunda farklı görüşlere yol açabilecek çeşitli farklı ölçümlere rağmen, AppSec uzmanları, geliştirici kültürü ve davranışının şirketlerin çabalarında büyük fark yarattığı konusunda hemfikirdir. Checkmarx’tan Johri, güvenlik ekipleri ve DevOps ekiplerinin iş birliği yapmaya teşvik edilmesi, yüksek düzeyde güvenlik görünürlüğüne sahip olması ve güvenlik olgunluklarını geliştirmeye çalışması gerektiğini söylüyor.
Checkmarx’tan Johri, “CISO organizasyonu ile DevOps ekibi arasındaki engelleri aşan ve güvenliğe daha bütünsel bir yaklaşım benimseyen şirketler en başarılı şirketlerdir” diyor. “Genel olarak, buluta geçişte agresif olan şirketler uygulama güvenliğinde daha ilerideler çünkü daha temiz mimarileri var ve bu tür ortamlarda yeni araçları kullanmak daha kolay.”
Ek olarak, iyi bir kültüre sahip olmak, güvenli bir geliştirme yaşam döngüsüne sahip olma şansını artırırken, araçlar yardımcı olur. Veracode’dan Rhame, spesifik olarak, bir API aracılığıyla başlatılabilen otomatik taramaların muhtemelen iyi entegre edilmiş bir ardışık düzene işaret ettiğini ve güvenlik açıklarının üretime sızma olasılığının daha düşük olduğunu söylüyor.
“Sık sık ve düzenli olarak tarama yapan bir ekip, borcunu sıfıra veya ona yakın bir düzeye indirecek ve borç orada kalacak” diyor. “Düzenli olarak tarama yapmayan bir ekip, önceden tarama süreci olmadan kodu üretime dağıtıyor olabilir.”