Şirket, son 12 aydaki dağıtımlardan elde edilen geri bildirimlere dayanarak, kurumsal kuruluşların 2023’te öncelik verdiğini gördüğü trendler hakkında çeşitli tahminlerde bulunuyor.
Uygulama güvenliği ve bulut güvenliği birleşecek
Önümüzdeki 12 ay boyunca, geleneksel, yekpare mimariye kıyasla bulutta yerel bir yaklaşım kullanılarak daha fazla uygulama oluşturulacak. Kapsayıcı kullanan dağıtılmış uygulamalar, mikro hizmetleri kapsayan ve altyapı katmanını aşan artan sayıdaki güvenlik açıklarından etkilenecektir.
Uygulama güvenliği artık altta yatan bulut altyapısından etkilendiğinden, uygulama güvenliği ile bulut güvenliği arasındaki ayrım net bir şekilde bulanıklaştı ve bulut güvenliği profesyonelleri artık saldırı yolu analizlerinde uygulama katmanını hesaba katmak zorunda.
Uygulama güvenliği uzmanları için bu, artık kod, kapsayıcı, küme, bulut ve bunların bağlantı ve iletişim analizini birleştiren bulut yerel uygulamaların doğru bir analizini gerçekleştirmeyi öğrenmeleri gerektiği anlamına gelir. Bulut güvenliği uzmanları için bu, uygulama katmanı analizini mevcut güvenlik duruşlarına eklemenin bir yolunu bulmak anlamına gelir.
‘Sola kaydır’, ‘her yere kaydır’ olacak
Son on yıldır insanlar sola kaymaktan bahsediyor. Gerçek şu ki, analiziniz ne kadar durağansa, uyanık yorgunluğun yanı sıra o kadar çok yanlış pozitif alırsınız. Bir SAST aracını çalıştırmak aslında size uygulama riskinizin ne olduğunu söylemez, yalnızca bazıları gerçek, bazıları değil bir dizi güvenlik açığınız olduğunu söyler. Çalışma zamanı analizini statik tarayıcılarınızdan aldığınız sinyallere bağlamaya gerçekten ihtiyaç vardır, böylece uygulamalarda neler olup bittiğine dair bağlamsal bilgi sağlanır.
Statik analizden kullanıcı tarafından türetilen sinyalleri çalışma zamanı analizinden (sağa kaydırma) aldığınız sinyallerle birleştiren akıllı analiz, uygulamalarınızdaki güvenlik açıkları hakkında daha fazla gerçek ve bunların genel riske nasıl katkıda bulunduğuna dair gerçek bir anlayış sağlayacaktır.
Uygulamaların ve bunları oluşturan ekiplerin risk katkılarına yönelik görünürlük için ciddi C-Suite talebi
Appsec ekibi için en büyük zorluğun “uygulamalarımızdaki güvenlik açıkları nelerdir ve bunları nasıl düzeltiriz?” olduğu günler. gidecek Bunun yerini, her uygulamanın risk katkısına ilişkin ölçümler oluşturma ve raporlama ihtiyacı ve bunların üretiminden ve güvenliğinden sorumlu ekiplere hesap verme sorumluluğu zinciri alacaktır. Liderler, genel risk maruziyetlerini azaltmak için kaynakları buna göre tahsis edebilmek için bunu bilmek isteyeceklerdir.
Bu, appsec ekiplerini, uygulamalarının “risk puanını” (kalan güvenlik açıklarının toplam, tür ve önem düzeylerinden hesaplanan) içeren, bakımlarındaki her uygulama için ayrıntılı, yüksek doğrulukta risk profilleri sağlayan araçlar bulmaya zorlayacaktır. düzeltme olmadan), bu uygulamaların topladığı, aktardığı ve sakladığı verilerin türü ve toplanan kayıtların sayısı.
Vulnerability Exploitability Exchange (VEX) daha popüler hale gelecek
Güvenlik açığı yönetimi, tipik olarak, neyin gerçekten düzeltilmesi gerektiğini ve neyin olmadığını anlamak için bir gürültü dağını ayıklamak ve ardından iyileştirme çabalarına öncelik vermek anlamına gelir. Appsec profesyonelleri, araç satıcılarının her bir güvenlik açığının sunduğu göreli risk seviyeleri hakkında net veriler sağlama taleplerini artıracak, böylece neyin düzeltileceğini tahmin etmeye ve manuel önceliklendirme çabalarına değerli kaynakları atamaya bırakılmazlar.
Bu değişim, otomasyonları ve entegrasyonları etkinleştirmek için makine tarafından okunabilen önceliklendirme bilgilerinin iletilmesi için net ve tutarlı bir veri formatı gerektirecektir. Sonuç olarak, Vulnerability Exploitability Exchange (VEX) daha popüler hale gelecek.
Yazılım tedarik zinciri güvenliğinin net bir tanımı olacak
Ama bu basit bir şey değil. 10 farklı kişiye yazılım tedarik zinciri güvenliğinin ne olduğunu sorun ve muhtemelen bazıları uzun ve kafa karıştırıcı olan 10 farklı yanıt alacaksınız. Yazılım tedarik zinciri güvenliği daha fazla inceleme almaya devam ettikçe, daha kesin ve tutarlı bir tanım ortaya çıkacaktır. Muhtemelen basit, tek cümlelik bir tanım olmayacak, ancak her birinin kendi tanımları ve gereksinimleri olan açıkça tanımlanmış kategoriler olacaktır.
Oxeye CTO’su Ron Vider, “Buluta yerel uygulamalar, iş çevikliği söz konusu olduğunda oyunun kurallarını değiştirir, ancak bu platformların korunması, geleneksel uygulama güvenliği çözümlerinin bu ortamlarda etkili bir şekilde çalışmasını kısıtlayan yeni zorluklar, kısıtlamalar ve gereksinimler getirir” dedi. Güvenlik.
Vider, “Burası hızla gelişen bir alan olduğundan, yerel bulut uygulama güvenliğine geçiş, dayanıklı operasyonlar sağlamak için tüm yazılım bileşenlerine ve temeldeki altyapıya bütünsel olarak bakan yeni bir yaklaşım gerektiriyor” dedi.