Synopsys’e göre, otomatik güvenlik teknolojisinin kullanımı hızla artıyor ve bu da “her yere geçiş” felsefesinin (yazılım geliştirme yaşam döngüsünün tamamı boyunca güvenlik testleri gerçekleştirme) daha fazla kuruluşta yaygınlaşmasına neden oluyor.
Bu yılın bulguları, maliyetleri azaltmak ve verimliliği artırmak için manuel, konu uzmanı odaklı güvenlik faaliyetlerinin yerine güvenlik otomasyonundan giderek daha fazla yararlanan firmaların açık bir eğilimini ortaya çıkardı.
Kuruluşlar gelişmiş otomasyon stratejilerini benimsiyor
Daha fazla otomasyon, son iki yılda %200 oranında artan otomatik, olay odaklı güvenlik testleriyle kuruluşların her yerde değişim felsefesini benimsemesine olanak tanıdı.
Her yere geçiş, şirketteki tüm paydaşlar için bilgi üreten güvenlik testleri ve sensörlerle ilgili bir felsefedir; güvenlik harcamalarını veya çabalarını artırmaya dayanmaz. Buna göre, her yere geçiş, güvenlik adına daha fazla güvenlik eklemek anlamına gelmiyor; bunun yerine, her güvenlik paydaşının risk yönetimi kararlarını bilgili bir şekilde alabilmesini sağlıyor.
Azaltma taktiklerinin bir parçası olarak birçok kuruluş, otomasyonlarını kusur tespitinin ötesine geçecek şekilde olgunlaştırıyor, tedarik zincirlerinin getirdiği riski en aza indirecek şekilde kapsamlarını genişletiyor, uygulamalarını ve ürünlerini güvence altına almak için bütünsel bir yaklaşım benimsiyor ve güvenliği mümkün kılan yeteneklerden yararlanıyor. bu gelişen koşullar. Ayrıca ekosistemlerine giderek daha fazla yapay zeka ekliyorlar; bu da üretkenliği artırabiliyor ancak aynı zamanda yeni saldırı yüzeyleri ve riskler de ortaya çıkarıyor.
Otomasyon, son beş yılda zorunlu kod incelemesinde %68’lik bir artışa yol açtı. Son ekonomik koşullar, otomasyonu kolay olmayan, pahalı, uzman odaklı faaliyetlerin azalmasına neden oldu. Merkezi hata raporlama ve saldırı listelerinin tamamı kullanımda %17’den fazla azaldı.
Kuruluşlar, Kalite Güvencesi (QA) aşamasındaki güvenlik testlerinin otomatikleştirilmesine olanak tanıyan modern araç zinciri teknolojisini benimsiyor; bu da ilgili çeşitli güvenlik faaliyetlerinde %10’luk bir büyümeye yol açıyor.
Synopsys Yazılım Bütünlüğü Grubu Genel Müdürü Jason Schmitt, “Herkes bir dizi güvenlik işlevinde otomasyon konusunda her şeyi yaptı ve bu da doğrudan daha iyi uygulamalara yol açıyor” dedi. “Şirketler, birleştirilmiş, entegre güvenlik araçlarıyla insan hatasını ortadan kaldırmanın, güvenlik programlarını daha etkili ve uygun fiyatlı hale getirdiğini ilk elden görüyor; bu da etkileyici bir kombinasyon. Siber saldırıların her açıdan arttığı ve her açıdan geldiği bir ortamda otomasyonun, yazılımı hedef alan sayısız tehdide karşı savunmada vazgeçilmez olduğu ortaya çıkıyor ve bu belirsiz ekonomide şirketlerin daha azıyla daha fazlasını yapmasına olanak tanıyor.”
Firmalar hizmet sağlayıcılardan ve iş ortaklarından daha fazlasını bekliyor
Raporda ayrıca müşterilerin kuruluşlarındaki güvenlik kültürünü geliştirme konusunda değerli ilerlemeler kaydettiği de ortaya çıktı. Geliştiricilerden, QA analistlerinden veya güvenlik sağlayıcı rolündeki mimarlardan oluşan güvenlik şampiyonu programlarına sahip firmalar, bu programa sahip olmayan firmalara kıyasla Olgunlukta Bina Güvenliği Modeli (BSIMM) ortalama %25 daha yüksek puan elde etti.
Firmalar ayrıca hizmet sağlayıcılardan ve ortaklardan daha fazlasını talep ediyor. Firmaların satıcıları şirket içinde kullandıkları standartlara benzer standartlara tabi tutması nedeniyle, güçlü satıcı güvenliği uygulamalarına yönelik beklentiler %21 arttı.
Müşteriler ayrıca güvenlik süreçlerinin sektördeki en iyi uygulamalara bağlı kalarak etkileyici bir ilerleme kaydettiğini bildirdi. Kuruluşlar giderek daha fazla Yazılım Malzeme Listesi (SBOM) oluşturuyor ve SBOM oluşturmada geçen yıla göre %22 artış görülüyor. Açık kaynak riskinin belirlenmesi ve kontrol edilmesi geçen yıla göre %10’un biraz altında arttı.
Tüm eğilimler olumlu değil ve birçok şirket güvenlik bütçelerinin azaldığını gördü. Güvenlik ekipleri otomasyona odaklanarak yatırım getirilerini en üst düzeye çıkarmaya çalıştıkça, manuel görevleri gerçekleştirmek için uzmanlara güvenen faaliyetlerde düşüş görüldü.