Checkmarx'a göre şirketlerin %92'si, şirket içinde geliştirilen uygulamalardaki güvenlik açıkları nedeniyle önceki yılda bir ihlal yaşamıştı.
AppSec yöneticileri ve geliştiricileri uygulama güvenliği görevlerini paylaşıyor
Son yıllarda uygulama güvenliğine ilişkin sorumluluk, özel güvenlik ekiplerinden uzaklaştı ve artık AppSec yöneticileri ve geliştiricileri arasında paylaşılıyor. Ankete katılanların %49'u geliştiricilerinin önemli AppSec çözümü satın alımlarına dahil olduğunu, %41'i AppSec yöneticilerinin dahil olduğunu ve %40'ı CISO'nun dahil olduğunu belirtti.
Güvenliği sağlamak için daha az zaman harcanarak daha fazla ortamda dağıtılan, güvenliği sağlanacak daha fazla yazılımla, şirketlerin %91'i güvenlik açığı bulunan uygulamaları bilerek yayımladı. Uygulama güvenliğine sağlam bir yaklaşım olmadan ihlallerin meydana gelme olasılığı daha yüksektir.
Yanıtlayanlara neden savunmasız uygulamaları yayınladıkları sorulduğunda, iş baskısı önemli bir nedendi; AppSec yöneticilerinin %29'u uygulamaları “iş, özellik veya güvenlikle ilgili bir son teslim tarihini karşılamak için” yayınladıklarını söylerken, CISO'ların %18'i güvenlik açığını umduklarını söyledi istismar edilemez ve geliştiricilerin %29'u güvenlik açığının daha sonraki bir sürümde düzeltileceğini söylüyor.
“CISO'ların, AI ve CNAPP gibi gelişmekte olan alanlar gibi AppSec'i yönlendiren ve gelecekteki inovasyon yatırımlarını yönlendiren stratejik konulara odaklanması ve kuruluşun stratejisinin bireysel geliştiriciler ve AppSec yöneticileri de dahil olmak üzere organizasyonun her düzeyinde işlevsel hale getirilmesinin sağlanması gerekiyor.” Checkmarx'ın NA CISO'su Peter Chestna, Help Net Security'ye söyledi.
Geliştiricilerin en önemli üç güvenlik kaygısı, teslimata kadar geçen süre talepleri ile geliştirme sürecinin güvenlik talepleri nedeniyle engellenmesi, hangi güvenlik açıklarının düzeltileceğini ve bunların nasıl önceliklendirileceğini bilmenin zorluğu ve bunların nasıl önceliklendirileceğini bilme zorluğu da dahil olmak üzere iyileştirme gerektiren potansiyel güvenlik açıklarının hacmi arasındaki gerilime odaklanmaktadır. güvenlik açıklarını gidermeye yardımcı olacak bağlam.
Güvenlik iş başarısına engel olamaz
Geliştiricilerin %61'i, güvenliğin geliştirme sürecini engellememesinin, yavaşlatmamasının ya da iş başarısının önünde bir engel haline gelmemesinin kritik olduğunu söyledi. Uygulama güvenliğindeki boşlukları kapatmak için geliştirici dostu AppSec araçlarının iş akışlarına kusursuz entegrasyonu çok önemlidir.
Uygulamaların bileşimi daha karmaşık hale geldi ve kaynak kodunu, açık kaynak paketlerini, kod olarak altyapıyı (IaC), kapsayıcıları ve daha fazlasını içerecek şekilde arttı. Karmaşıklıktaki bu katlanarak artan artış, kuruluşların koddan buluta kadar tüm yazılım geliştirme yaşam döngüsü boyunca tarama yapma ihtiyacının ardındaki ana etkenlerden biridir.
Araştırma, bu kaygıları ve daha fazlasını ele alan ve ilgili tüm ekipleri aşağıdakilerle donatan kapsamlı bir AppSec platformuna olan ihtiyacı açıkça ortaya koyuyor:
- AppSec ve geliştirici ekipleri arasında bir işbirliği ve güven durumu olan DevSecTrust'u oluşturun
- Tercih edilen IDE'lerle entegre bir araç setinin parçası olarak risklerin önceliklendirilmesini sağlayarak geliştirici deneyimini iyileştirin
- Bulutta yerel AppSec'i bütünsel bir yaklaşımla birleştirin
- Koddan buluta kadar tüm uygulama ayak izini koruyun