Cycode’a göre güvenlik uygulayıcıları günümüz uygulamalarını güvence altına alma konusunda muazzam bir baskı altında.
Araştırma, AppSec kaosunun hüküm sürdüğünü, CISO’ların %78’inin günümüzün AppSec saldırı yüzeylerinin yönetilemez olduğunu yanıtladığını ve yanıt verenlerin %90’ının güvenlik ve geliştirme ekipleri arasındaki ilişkilerin iyileştirilmesi gerektiğini doğruladığını ortaya çıkardı. Şaşırtıcı bir şekilde, CISO’ların %77’si yazılım tedarik zinciri güvenliğinin AppSec için Gen AI veya açık kaynaktan daha büyük bir kör nokta olduğuna inanıyor.
Kuruluşlar AppSec riski ve etkinlik önceliklendirmeyle mücadele ediyor
AppSec risklerinin ve etkinliklerinin önceliklendirilmesi çoğu kuruluş için önemli bir sorundur. CISO’ların %85’i, geliştirme ekiplerinin güvenlik açığı gürültüsünden ve uyarı yorgunluğundan muzdarip olduğunu ve bunun da güvenlik ile geliştirme ekipleri arasındaki ilişkiyi zorladığını kabul ediyor.
Ayrıca %88’i, uyarı yorgunluğu nedeniyle geliştiricilerin kritik güvenlik açıklarını gidermeye odaklanmadığını, bunun da güvenlik ihlali olasılığını artırdığını ve işletmeyi riske attığını kabul ediyor.
Ankete katılanların yalnızca %21’i uygulama güvenliğinden hem güvenliğin hem de geliştirmenin eşit derecede sorumlu olduğuna inanıyor; bu da birçok güvenlik uzmanının uygulama güvenliğinin bir takım sporu olup olmadığını sorguladığını doğruluyor. %77’lik ezici bir çoğunluk, uygulama güvenliğinin kime ait olduğunu anlamanın zor olduğunu söyledi; bu da çoğu kuruluşta AppSec’ten kimin sorumlu olduğu konusunda daha fazla açıklığa ihtiyaç duyulduğunu gösteriyor.
CISO’lar AppSec araçlarını birleştirmeye hazırlanıyor
Rapor ayrıca güvenlik ve geliştirme ekipleri arasındaki ilişkinin bozulmasının tek nedeninin uyarı yorgunluğu olmadığını da gösteriyor. Zorlukların çoğu, çeşitli güvenlik açığı kaynaklarından ve AppSec araçlarının yaygınlaşmasından kaynaklanmaktadır. Güvenlik profesyonellerinin şaşırtıcı bir şekilde %75’i birden fazla güvenlik aracını yönetmenin karmaşıklığıyla mücadele ediyor.
Gartner’a göre, “2026 yılına kadar, özel uygulamalar geliştiren kuruluşların %40’ından fazlası, uygulama güvenliği sorunlarını daha hızlı tanımlayıp çözmek için Uygulama Güvenliği Duruş Yönetimi’ni (ASPM) benimseyecek.
“Sektör tahminlerine rağmen araştırmamız ASPM’nin benimsenmesi için çok daha yoğun bir zaman dilimi olduğunu ortaya koyuyor. Şu anda tüm abartılı reklam yapay zekaya odaklanmış olsa da, yazılım tedarik zinciri güvenliği sorunları da aynı derecede veya hatta daha kritik ve herhangi bir ASPM çözümünün sınıfının en iyisi yeteneklere sahip olması gerekiyor” dedi Cycode CEO’su Lior Levy.
IDC Kıdemli Araştırma Analisti Katie Norton şunları söyledi: “Cycode raporunun bulgularının çoğu, yazılım tedarik zinciri güvenliğinin kritikliğinden başlayarak, piyasada gördüklerimizle örtüşüyor.” “2023 DevSecOps Benimseme, Teknikler ve Araçlar Araştırmamız, savunmasız bir yazılım tedarik zincirinin en önemli uygulama güvenliği açığı olduğunu belirledi. IDC araştırmamız ayrıca şirketlerin geliştirici ve güvenlik konusundaki uyumsuzluklarla mücadele ettiğini ve koordinasyonu güçlendirmeye öncelik verdiklerini ortaya çıkardı.”
Ayrıca CISO’ların %92’si önümüzdeki 12 ay içinde AppSec araçlarını tek bir platformda birleştirmeyi istediklerini doğruladı.