Finansal hizmetlerde uygulama güvenliği riski uzun bir oyun haline geliyor. Veracode’a göre, yeni kodda daha az kusur ortaya çıkıyor, ancak eskileri daha uzun süre kalıyor ve büyümeye devam eden bir tür yazılım “ilgisi” yaratıyor. 2025 Yazılım Güvenliğinin Durumu rapor.
Araştırmacılar 1,3 milyondan fazla uygulamadan ve 126 milyon güvenlik bulgusundan elde edilen verileri analiz etti. Finansal kuruluşlar ciddi güvenlik açıklarını önleme konusunda ortalamanın üzerinde performans gösteriyor ancak bunları düzeltme konusunda daha yavaşlar ve diğer birçok sektöre göre daha fazla uzun vadeli güvenlik borcu taşıyorlar.
Daha az kusur var ancak bir duraklama devam ediyor
Finans sektörü uygulamalarının %57’si, en son statik analiz taramalarında en az bir güvenlik açığına sahipti. Yaklaşık %55’i OWASP İlk 10’da listelenen sorunları içeriyordu ve %40’ı CWE En tehlikeli 25 yazılım zayıflığıyla bağlantılıydı. Finansal uygulamaların yalnızca %8’inde yüksek önemde kusurlar bulunurken, tüm sektörlerde bu oran %16’ydı.
Bu rakamlar, finansal firmaların kritik sorunları çoğundan daha iyi tespit edip önlediğini gösteriyor. Ancak ilerleme 2021’den beri durmuş durumda. Birkaç yıl süren iyileşmenin ardından, savunmasız uygulamaların oranı sabitlendi; bu da kuruluşların riski azaltmakta zorlandıklarını gösteriyor.
Rapor bunu yazılım geliştirmedeki sürekli çalkantıya bağlıyor. Kod yazılır, kusurlar bulunur, düzeltmeler uygulanır ve yeni kod yeni sorunları ortaya çıkarır.
Kusurların düzeltilmesi dokuz aya yakın sürüyor
Keşfedilen kusurların yarısının düzeltilmesi için gereken ortalama süre yaklaşık dokuz aydır; bu, sektörler arası ortalamadan biraz daha yavaştır.
Kusurların önemli bir kısmı yıllarca açık kalıyor; bu da birçok düzeltmenin erken gerçekleşmesine rağmen düzeltmenin zamanla yavaşladığını gösteriyor. Bu kusurlar biriktikçe uygulamaların bakımı zorlaşır. Ekipler yeni projelere ve güvenlik açıklarına odaklandıkça eski sorunlar genellikle bir kenara itilir ve tamamlanmamış iyileştirme çalışmaları döngüsü oluşur.
Veracode Baş Güvenlik Evangelisti Chris Wysopal, “Finansal hizmetlerde güven her şeydir, ancak verilerimiz çözülmemiş güvenlik borcunun sektör için yarattığı sessiz ve büyüyen bir riski ortaya koyuyor. Yapay zeka odaklı saldırıların artması ve uyumluluk gereksinimlerinin sıkılaşmasıyla finans liderleri, kritik yazılım kusurlarının hedefe yönelik iyileştirilmesinden başlayarak stratejik risk azaltmaya öncelik vermeli” dedi.
Menkul kıymet borcu yaygın ve riskli
Yüzde 77’si bir miktar menkul kıymet borcu taşıyor; bu, sektörler genelindeki yüzde 74’lük ortalamanın biraz üzerinde. Daha da endişe verici olanı, finans firmalarının yüzde 63’ünün Veracode’un kritik borç olarak tanımladığı borçlara sahip olması, bu da bir yıldan uzun süredir düzeltilemeyen ciddi güvenlik açıkları anlamına geliyor. Bu rakam genel oranın %13 puan üzerindedir.
Güvenlik borcu daha eski ve daha büyük uygulamalarda birikme eğilimindedir. Genellikle verimliliği ve dayanıklılığı azaltan diğer teknik borç türlerini yansıtır. Rapor, bir kuruluşta ne kadar çok eski kod varsa, kusurların birikiminin de o kadar ağırlaştığını öne sürüyor.
Açık kaynak yükü artırıyor
Finansal hizmetler sektöründeki tüm güvenlik borçlarının yaklaşık %17’si açık kaynak kütüphanelerden geliyor. Kritik borçlara odaklanıldığında bu pay %80’in üzerine çıkıyor.
Üçüncü taraf bileşenlerdeki kusurların düzeltilmesi, şirket içinde geliştirilen kodlara göre daha uzun sürer. Rapor, devralınan kusurların birden fazla uygulamaya yayılabileceği ve yıllarca devam edebileceği için açık kaynak paketlerini bir kod tabanına eklemeden önce değerlendirmenizi öneriyor.
Bulgular aynı zamanda finansal kurumlardaki açık kaynak riskinin tam boyutunun eksik hesaplanabileceğini de öne sürüyor. Pek çok kuruluş hâlâ yazılım tedarik zincirinde görünürlükten yoksundur ve yazılım bileşimi analiz araçlarını tutarlı bir şekilde kullanamayabilir.
Liderler daha hızlı hareket eder ve daha az borç taşırlar
Rapor, önde gelen ve geride kalan finansal hizmet kuruluşlarını beş uygulama güvenlik ölçütü kullanarak karşılaştırıyor: kusur yaygınlığı, düzeltme kapasitesi, düzeltme hızı, borç yaygınlığı ve açık kaynak borcu.
Önde gelen kuruluşlar, kusurları emsallerine göre birkaç kat daha hızlı düzeltiyor ve uygulamaları genelinde çok daha düşük bir güvenlik borcu düzeyine sahip oluyor. Geride kalanlar ise tersine, yavaş bir tempoda iyileştirme yapar ve sistemlerinin çoğunda kalıcı kusurlar taşırlar.
Bu fark, küçük bir grup olgun programın istikrarlı bir şekilde geliştiğini, diğerlerinin ise uzun süredir devam eden kusurların etkisi altında kaldığını gösteriyor.