Cycode’a göre güvenlik liderlerinin %72’si, yapay zeka çağının kuruluşların uygulama güvenliğine yaklaşımının tamamen sıfırlanmasını gerektirdiği konusunda hemfikir.
Bu aciliyet, yalnızca geçen yıl büyük ölçüde GenAI tarafından yönlendirilen 93 milyar satır kod üretilmesi gerçeğiyle daha da güçleniyor. Bu kod patlaması güvenlik ekiplerini açıkça bunaltıyor; güvenlik liderlerinin %73’ü “kodun her yerde olduğunu” doğruluyor.
“IDC’nin en son DevSecOps araştırması, Cycode’un öngörüleriyle uyumlu olarak, yapay zeka tarafından oluşturulan güvenli olmayan kodun, 2024 yılında kuruluşlar için en önemli uygulama güvenliği zorlukları arasında yer aldığını vurguluyor. Bu, 2025 uygulama güvenliği stratejilerinin temel taşı olarak kod güvenliğinin artan öneminin altını çiziyor” dedi IDC Araştırma Müdürü Katie Norton. “Geliştirme ve tehdit ortamları daha karmaşık hale geldikçe, kod güvenliğinin güçlendirilmesi inovasyon çabalarının korunması açısından hayati önem taşıyor.”
Bütçe artışlarına yol açan en önemli güvenlik sorunları
Cycode’a göre yanıt verenlerin %59’u günümüzün saldırı yüzeyinin tamamen yönetilemez olduğunu, GenAI’nin 1 numaralı kör nokta olarak ortaya çıktığını ve bunu koddaki hızlı büyümenin takip ettiğini söylüyor. Bu zorluklar göz önüne alındığında, katılımcıların %63’ünün CISO’ların kod güvenliğine yeterince yatırım yapmadığına inanması şaşırtıcı değil.
Buna karşılık, güvenlik bütçelerinin önümüzdeki 12 ay içinde ortalama %50 oranında artması bekleniyor.
Bu, önümüzdeki zorluğun gerçek boyutunu yansıtıyor. Ancak raporun da vurguladığı gibi, ortalama bir kuruluş hâlihazırda 50 güvenlik aracı kullanıyor; bu rakam, geçen yıl bildirilenden biraz daha fazla. Araçların giderek yaygınlaşması, güvenlik ve risk duruşuna ilişkin genel görünürlük eksikliği, uyarı yorgunluğu ve güvenlik ile geliştirme ekipleri arasındaki işbirliğini geliştirmedeki zorluklar dahil olmak üzere önemli operasyonel zorluklar yaratıyor.
61’den fazla güvenlik aracına sahip kuruluşlarda yanıt verenlerin %90’ı, güvenlik bütçelerinin nereye harcandığına dair bilgi eksikliğini bildiriyor. Bu zorluk, siber güvenlik alanında devasa bir yetenek açığıyla daha da artıyor; bu durum, araçların yaygınlaşmasının daha da kötüleşmesine ve kuruluşların karmaşık BT ortamlarını etkili bir şekilde yönetme ve güvence altına alma konusunda zorlanmasına neden oluyor.
Çok fazla araç uzmanlık becerisi gerektirir
Ankete katılan güvenlik profesyonellerinin %83’ü, çok fazla araca sahip olmanın uzmanlık becerileri gerektirdiğini ve devam eden siber güvenlik yetenek açığı nedeniyle becerileri bulmanın giderek zorlaştığını kabul ediyor. Bu elbette siber profesyonellerin eksikliğinden de kaynaklanıyor. Ankete katılanların %65’inin AppSec ihtiyaçları ile yetenek eksikliğini dengelemenin zor olduğunu söylemesi şaşırtıcı değil.
Güvenlik profesyonelleri, araçların yayılmasının tehlikelerinin giderek daha fazla farkına varıyor ve %88’i önümüzdeki 12 ay içinde AppSec araçlarını tek bir platformda birleştirme planlarını doğruluyor.
Cycode’un Kurucu Ortağı ve CEO’su Lior Levy, “Piyasa net bir sinyal veriyor: Uygulama güvenliğine nasıl yaklaştığımızı sıfırlamanın ve yeniden düşünmenin zamanı geldi” dedi. “Kuruluşlar kod güvenliğine her zamankinden daha fazla yatırım yapıyor, ancak araçların yayılması ve yönetilemeyen saldırı yüzeyi gibi zorluklar devam ediyor. Kritik bir dönüm noktasındayız ve kuruluşların inovasyon ile güvenlik arasında seçim yapmak zorunda kalması gerektiğine inanmıyoruz.”
Halihazırda Uygulama Güvenliği Duruş Yönetimi (ASPM) platformunu kullananların %90’ı, genel riski anlama ve yönetme becerilerinde önemli bir gelişme olduğunu ve bu sayede en kritik güvenlik açıklarını önceliklendirmelerine olanak sağladığını bildiriyor. Ayrıca %97’lik bir oran, güvenlik ve geliştirme ekipleri arasındaki işbirliği üzerinde olumlu bir etki gördü.
Araştırma, ABD, İngiltere ve Almanya’daki 700 CISO, AppSec Direktörü ve DevSecOps yöneticisinin katıldığı bağımsız, satıcıdan bağımsız bir ankete dayanıyor.