129 yazılım geliştirme uzmanıyla yapılan bir EMA anketi, kod tarama araçlarını kullanan kuruluşların yalnızca %10’unun kod tarama araçlarını kullanmayan kuruluşlara göre daha yüksek bir güvenlik açığı yüzdesini önlediğini ve sürekli eğitimin, bu araçları kullanan kuruluşların %60’ından fazlası için kod güvenliğini büyük ölçüde iyileştirdiğini ortaya çıkardı. benimsedi.
Araştırmacılar ayrıca, kuruluşların %70 kadarının yazılım geliştirme yaşam döngülerinde (SDLC) kritik güvenlik adımlarını kaçırdığını ve bu da ‘sola kaydırma’ yaklaşımıyla mücadele edildiğini ortaya çıkardı.
Ulusal Güvenlik Açığı Veritabanındaki (NVD) her yıl yeni güvenlik açıklarının 2015 ile 2021 arasında %210’un üzerinde artmasına (6.487’den 20.139’a) rağmen, ‘sola kaydırma’ yaklaşımı pek benimsenmedi.
EMA’nın araştırmasına göre kuruluşların yalnızca %25’i, önemine ilişkin artan endüstri bilincine rağmen sola kaydırmalı bir güvenlik stratejisi kullanıyor.
Araştırma, güvenliğin birçok kuruluş için daha düşük bir öncelik olmaya devam ettiğini gösterdi – neredeyse %50’si güvenlik doğrulaması için bir adım atmıyor, %20’si uygulama güvenliğini planlamıyor ve %4’ünün özel bir güvenlik uygulama adımı yok.
Yine de geçiş yapmanın faydaları kanıtlanmıştır: Sola geçiş yaklaşımını benimseyenlerin 10’da 9’u güvenlik açıklarında azalma olduğunu fark etmiştir.
“Son birkaç yılda yeni güvenlik açıklarında endişe verici bir artış gördük. Kuruluşların %99’unda güvenlik farkındalığı eğitim programları olsa da, bu yaklaşım geliştiriciler gibi güvenlik açısından kritik rollerde olanlar için yeterince ileri gitmiyor,” diyor Security Journey’de Güvenlik Eğitimi Evanjelisti olan Amy Baker.
“Farkındalık, bilgi için bir ön hazırlıktır, ancak paradigmayı gerçekten değiştirmek ve AppSec ikilemini çözmek için, odak noktası AppSec’in “farkındalığından” “derinlemesine bilgiye” geçmelidir ve geliştiricileri güvenli kodlama uygulamaları konusunda eğitmek, güvenlikte bir sonraki adımdır. farkındalık programları Geliştirme aşamasında daha önce tespit edilen güvenlik açıklarının çözülmesi daha kolaydır ve çok daha az maliyetlidir. Bu da uygulama güvenliği eğitimine programlı ve sürekli bir yaklaşım ve özellikle geliştiriciler için güvenli kodlama eğitimi gerektiriyor,” diye devam etti Baker.
Eğitimli geliştiriciler: Kod güvenliğini iyileştirmek için paha biçilemez
Eğitim, daha güvenli uygulamalar sağlamak için genellikle yeterince kullanılmayan bir yöntemdir. Çalışma, güvenli kodlama eğitiminin yüksek bir yatırım getirisine sahip olduğunu, sürekli eğitimden yararlanan katılımcıların %28,8’inin güvenlik açıklarının %90’ından fazlasının üretime ulaşmasını engellediğini ortaya çıkardı.
Çalışma ayrıca, eğitime yatırım yapmanın önündeki en yaygın engellerin üretkenlik üzerindeki algılanan etkiler olduğunu da ortaya çıkardı. Yine de üçüncü şahıslar tarafından sürekli eğitim verildiğinde ve kod incelemeleri ve kod tarama araçlarıyla birlikte uygulandığında, kuruluşların %100’ü kod güvenliklerinde iyileşme gördü.
EMA’da Araştırma Analisti Ken Buckler, “Siber güvenlik söz konusu olduğunda, çoğu zaman insan unsuru herhangi bir sistemin en çok gözden kaçan bileşenidir” diyor.
“En düşük benimseme oranları (%54) ve en yüksek kod geliştirme oranları (%100) ile üçüncü taraf eğitimi, bazı kuruluşların yatırım yapmakta başarısız olduğu kritik bileşen gibi görünüyor. kodun gözden geçirildiğine dair bir uyumluluk onay kutusunun işaretlenmesi. Ne de olsa, kodu gözden geçirenler, kodun güvenli olup olmadığını nasıl anlayabilirler, eğer bu gözden geçirenlere en başta uygun eğitim verilmediyse?” diye sözlerini tamamladı Buckler.