Synopsys, yazılım güvenliğini etkileyen stratejileri, araçları ve uygulamaları inceleyen “Global State of DevSecOps 2023” raporunu yayınladığını duyurdu. Synopsys Siber Güvenlik Araştırma Merkezi’nin yeni raporu, Censuswide tarafından dünya çapında 1.000’den fazla BT uzmanının (geliştiriciler, uygulama güvenliği uzmanları, DevOps mühendisleri ve CISO’ların yanı sıra teknoloji, siber güvenlik ve yazılım uzmanları dahil) katıldığı bir ankete dayanıyor. gelişim.
Ankete katılanların %80’inden fazlası, dağıtılan yazılımdaki kritik bir güvenlik sorununun geçen yıl DevOps teslim planlarını etkilediğini belirtti. Yazılım geliştirme yaşam döngüsünün (SDLC) her aşaması boyunca güvenlik testlerinin yerleştirilmesine odaklanan bir çerçeve olan DevSecOps’un uygulanması, üretim uygulamalarındaki kritik güvenlik açıklarının ve yararlanılabilir güvenlik sorunlarının hacmini azaltmanın yerleşik bir yoludur.
“Büyük bir çoğunluk olmasına rağmen [91%] Synopsys Software Integrity Group genel müdürü Jason Schmitt, şöyle konuştu: “Organizasyonların oranı belirli düzeyde DevSecOps uygulamalarını benimsemiş olsa da, özellikle kurumsal ölçekte bu yöntemleri etkili bir şekilde uygulamada engellerle karşılaşmaya devam ediyorlar.” “Özellikle dünya genelindeki kuruluşların, ekipleri tarafından kullanılan çoklu uygulama güvenliği test araçlarından elde edilen sonuçları entegre etme ve önceliklendirme konusunda zorluk yaşadıklarını fark ediyoruz. Ayrıca, kod olarak altyapı aracılığıyla güvenlik ve uyumluluk politikalarını otomatik olarak uygulamakta da zorlanıyorlar; bu uygulama, katılımcılar tarafından çoğunlukla güvenlik programlarının genel başarısının önemli bir faktörü olarak zikrediliyor.”
Rapordan elde edilen önemli bulgular şunlardır:
- Çoğu güvenlik uzmanı halihazırda yapay zeka kullanıyor ve daha da fazlası risklerine karşı temkinli davranıyor. Ankete katılanların çoğunluğu (%52) kuruluşlarının yazılım güvenliği önlemlerini geliştirmek için yapay zekayı aktif olarak kullandıklarını belirtti. Ancak daha da fazlası (%76) yapay zeka tabanlı siber güvenlik çözümleriyle ilgili olası hatalar veya sorunlar konusunda “çok veya biraz endişeli”.
- Çoğu kuruluş için iyileştirme zaman çizelgeleri haftalar sürebilir. Ankete katılanların yüzde yirmi sekizi, kuruluşlarının konuşlandırılan uygulamalardaki kritik güvenlik risklerini/açıklarını düzeltmesinin üç haftaya kadar sürdüğünü söyledi. Diğer %20’lik bir kesim ise çoğu istismarın birkaç gün içinde ortaya çıkmasına rağmen bu sürecin bir aya kadar sürebileceğini söyledi.
- Uygulama güvenliği test araçları, ankete katılanların en az üçte ikisi için yararlı görülüyor. Dinamik uygulama güvenliği testi (DAST), etkileşimli uygulama güvenliği testi (IAST), statik uygulama güvenliği testi (SAST) ve yazılım kompozisyon analizi (SCA) dahil olmak üzere güvenlik araçlarının ve uygulamalarının kullanışlılığını ölçmeniz istendiğinde, her araç Anket, yanıt verenlerin en az üçte ikisi tarafından faydalı olarak değerlendirildi. Rapor, SAST’ı en çok saygı duyulan AST aracı olarak tanımlıyor ve %72’si onu faydalı bulduğunu belirtiyor. Bunu, IAST (%69), SCA (%68) ve DAST (%67) takip ediyor.
- Güvenlik testi sorumlulukları, iç güvenlik ve geliştirme/mühendislik ekipleri arasında eşit olarak paylaştırılır. Yazılım geliştiricileri ve mühendisleri (%45), kuruluşlarının iş açısından kritik uygulamaları ve sürekli iyileştirme (CI) hatları üzerinde güvenlik testleri gerçekleştirmekle görevlendirilme olasılıkları, iç güvenlik ekibi üyeleri (%46) kadar görevlendiriliyor. Kuruluşların üçte biri (%33) aynı zamanda iç ekiplerin çabalarını desteklemek için dışarıdan danışmanlar da görevlendiriyor.
Daha fazla bilgi edinmek için “DevSecOps’un Küresel Durumu 2023” raporunun bir kopyasını indirin veya ayrıntılı blog gönderisini okuyun.