Veracode’a göre, bir yıldan uzun süre sabit kalan kusurlar olarak tanımlanan güvenlik borcu, uygulamaların %42’sinde ve kuruluşların %71’inde mevcut.
Endişe verici bir şekilde, kuruluşların %46’sında ‘kritik’ güvenlik borcu oluşturan kalıcı, yüksek önem derecesine sahip kusurlar bulunuyor ve bu da işletmeleri gizlilik, bütünlük ve kullanılabilirlik açısından ciddi risk altına sokuyor.
Rapora göre uygulamaların yüzde 63’ünün birinci taraf kodunda kusurlar bulunurken, yüzde 70’inin üçüncü taraf kütüphaneler aracılığıyla içe aktarılan üçüncü taraf kodunda kusurlar içerdiği belirtiliyor.
Bu, yazılım geliştirme yaşam döngüsü boyunca her iki türün de test edilmesinin önemini vurgulamaktadır. Düzeltme oranları da kusur türüne göre değişiklik gösterir; üçüncü taraf kusurlarının düzeltilmesi %50 daha uzun sürer; bilinen kusurların yarısı, birinci taraf kusurlarının yedi aya kıyasla 11 ay sonra düzeltilir.
Yüksek önemdeki uygulama kusurlarında önemli düşüş
Ancak iyi haberler de var: Uygulamalardaki yüksek önemdeki güvenlik kusurları 2016’dan bu yana yarı yarıya azaldı, bu da yazılım güvenliği uygulamalarındaki ilerlemeyi ve iyileştirme hızının kritik güvenlik borcu üzerinde önemli bir etkisi olduğunu gösteriyor.
Rapor, kusurları en hızlı şekilde düzelten geliştirme ekiplerinin kritik güvenlik borcunu %75 oranında (uygulamaların %22,4’ünden %5’in biraz üzerine) azalttığını ortaya koyuyor. Üstelik bu hızlı hareket eden ekiplerin, başvurularında kritik güvenlik borcunun gerçekleşmesine izin verme olasılığı dört kat daha az.
“Güvenlik ortamında iyileşmeler görmeye devam etsek de, bu bulgular kuruluşların güvenlik borçlarını doğrudan ele almaları için bir uyandırma çağrısıdır. Veracode Baş Araştırma Görevlisi Chris Eng, “Kusurların giderilmesine öncelik vererek, üçüncü taraf kod güvenliğine odaklanarak ve etkili geliştirme uygulamalarını benimseyerek, kuruluşlar güvenlik borçlarını önemli ölçüde azaltabilir ve genel yazılım güvenliği durumunu iyileştirebilir” dedi.
Yapay zekanın yazılım geliştirmede hızla devrim yarattığı bir dönemde rapor endişe verici bir eğilimin altını çiziyor. Eng şunları söyledi: “Yapay zekanın yazılım geliştirmeye getirdiği hız ve verimliliğe rağmen, mutlaka güvenli kod üretmesi mümkün değildir. Araştırmalar GitHub CoPilot tarafından oluşturulan kodun %36’sının güvenlik kusurları içerdiğini gösterdi.”
Güvenli olmayan kodun bu ölçekte yaygınlaşması, kuruluşlar ve yazılım tedarik zinciri için önemli bir risk teşkil etmekte ve zamanla güvenlik borcunun birikmesine yol açmaktadır.
Yapay zeka ile yazılım güvenliğinde yeni dönem
Araştırma aynı zamanda ekipler arasındaki iyileştirme kapasitesinin de kısıtlı olduğunu, uygulamaların yalnızca %64’ünün kritik güvenlik borcunu ortadan kaldırmaya yeterli bir iyileştirme kapasitesine sahip olduğunu ortaya çıkardı.
Aslında on başvurudan yalnızca ikisinde tüm güvenlik kusurlarının %10’unu aşan ortalama aylık düzeltme oranı görülüyor. Bu, ekiplerin düzeltme kapasitesinin yeterli olduğu durumlarda bile kritik kusurlara öncelik vermediklerini gösteriyor.
Buna rağmen başarı umudu var. Tüm kusurların yalnızca %3’ü kritik güvenlik borcunu oluşturuyor ve bu alt küme, uygulamalar için en büyük riske maruz kalmayı temsil ediyor. Kuruluşlar bu %3’e öncelik vererek odaklanmış çabayla maksimum risk azaltımına ulaşabilir.
Eng, sözlerini şöyle tamamladı: “Yapay zeka aynı zamanda kuruluşların iyileştirme çabalarını ölçeklendirmesine ve uzun birikmiş güvenlik borcunun yanı sıra ortaya çıkan yeni kusurları daha kolay ele almasına olanak tanıyarak yazılım güvenliğinde yeni bir sınırın önünü açıyor.”