Uygulama Güvenliği, Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Statik Uygulama Testi Tedarikçileri Nesil Yapay Zekayı Benimserken, Lider Sıralamasında Mikro Odak Düşüyor
Michael Novinson (MichaelNovinson) •
6 Ekim 2023
Veracode, Synopsys ve Checkmarx, Forrester’ın statik uygulama güvenliği testi sıralamasında istikrarlı bir şekilde üst sıralarda yer alırken Micro Focus, OpenText tarafından satın alınmasının ardından liderlik tablosundan düştü.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Forrester Kıdemli Analisti Janet Worthington, sağlayıcıların yalnızca kodun güvenliğini değerlendirmenin ötesine geçtiğini ve artık kodun üzerinde çalıştığı altyapının güvenliğini değerlendirdiğini, artık her SAST firmasının kod tarama gibi altyapılar da sunduğunu söyledi. Satıcılar artık Azure Bicep gibi yeni IAC sürümlerini ve OutSystems gibi az kodlu platformlar gibi yeni programlama dillerini destekliyor.
Worthington, Information Security Media Group’a “SAST, güvenliğin dikkate alması gereken bir şey olarak geleneksel olarak kod dediğimiz şeyin ötesine geçiyor” dedi. “SAST satıcıları şu fikri gerçekten benimsiyor: ‘Sadece sahip olduğunuz koda değil, aynı zamanda kodun üzerinde çalışacağı altyapıya da bakmalısınız.'”
Worthington, yazılım kompozisyonu uzmanlarının kendi SAST araçlarını satın almalarında veya oluşturmalarında bir hızlanma olduğunu ve bunun tersinin de geçerli olduğunu, geliştirici odaklı araçların da gürültüyü azaltmak için CI/CD boru hattı veya ikili yapı alanındaki resme girdiğini söyledi. Buna ek olarak, bulut güvenliği satıcılarının SAST ve SCA alanına girerek salt oyun sağlayıcılarını konsolide bir yaklaşım benimsemeye zorladığını söyledi.
Statik uygulama güvenliği testi Forrester Wave, 2021 kışındaki sürümün yerini aldı. Bu kez Veracode büyük bir farkla en yüksek strateji sıralamasını aldı; Synopsys ve Snyk ikinci en yüksek puanları paylaşırken Checkmarx ve HCL Software onu takip etti. Bu, Checkmarx’ın Veracode’u geride bıraktığı ve Synopsys ve HCL Software’in ardından geldiği 2021 yılının tam tersidir (bkz.: Synopsys, Uygulama Güvenliği Testinde Gartner MQ’daki Liderliğini Genişletiyor).
Veracode ayrıca mevcut statik uygulama güvenliği test aracıyla Forrester’dan en yüksek puanı alırken, Synopsys, Checkmarx ve HCL Software sırasıyla ikinci, üçüncü ve dördüncü en yüksek sıralamayı aldı. 2021’de Synopsys, Veraocde’u mevcut en yüksek teklif sıralamasında geride bıraktı; Checkmarx, Micro Focus ve Parasoft da arkalarında yer aldı.
“SAST, geleneksel olarak kod dediğimiz şeyin ötesine geçiyor.”
– Janet Worthington, kıdemli analist, Forrester
Worthington, ileriye dönük olarak üretken yapay zekanın geliştiricilerin kod yazma, test senaryoları oluşturma ve belge yayınlama konusunda çok daha üretken olmalarına olanak tanıyacağını öngörüyor. Üretken yapay zeka, satıcılara ve müşterilere ilk yazılan kodun otomatik olarak iyileştirilmesine olanak tanıyarak statik uygulama güvenliği test alanına yardımcı olacağını ve geliştiricilere yalnızca kod örnekleri yerine düzeltmeler yapmak için gereken gerçek kodu vereceğini söyledi.
Worthington, “Üretken yapay zeka, bazı şeyleri henüz tahmin bile edemeyeceğimiz şekillerde değiştirecek” dedi. “Yazılacak çok sayıda kodumuz olacak, test edilmesi gereken çok sayıda kodumuz ve bakımı yapılması gereken çok sayıda kodumuz olacak. Bazı ilginç değişiklikler göreceğiz ve bu nedenle işleri nasıl yaptığımızın evrimi.”
Liderlerin dışında Forrester’ın statik uygulama güvenliği testi pazarını nasıl gördüğü şöyle:
- Güçlü Performans Gösterenler: HCLSoftware, Snyk, OpenText;
- Yarışmacılar: GitLab, GitHub, SonarSource;
- Meydan okuyanlar: Performans Yazılımı, Kontrast Güvenliği.
SAST Liderleri Zirveye Nasıl Çıktı?
| Firma Adı | Kazanma | Miktar | Tarih |
|---|---|---|---|
| Checkmarx | Tozlu | Açıklanmamış | Ağustos 2021 |
| Checkmarx | Custodela | Açıklanmamış | Kasım 2018 |
| özet | Kod Dx | Açıklanmamış | Haziran 2021 |
| özet | Black Duck Yazılımı | 547 milyon dolar | Aralık 2017 |
| özet | Kapsama | 334 milyon dolar | Mart 2014 |
| Vera kodu | Jarona | Açıklanmamış | Nisan 2022 |
Veracode Kusurları Düzeltmek İçin Yapay Zekayı Uyguluyor
Baş Ürün Sorumlusu Brian Roche, Veracode’un statik tarama motorunun çalışma biçimini sıfırdan yeniden tasarladığını ve güvenlik açıklarının nasıl düzeltileceğine ve milisaniyeler içinde sonuçların nasıl üretileceğine dair çeşitli seçenekler sağladığını söyledi. Şirket, müşterilerin milyonlarca uygulamayı aynı anda taramasına olanak tanıyan bulut tabanlı bir yaklaşımı benimserken, uygulamadaki güvenlik açıklarını belirleyen temel istihbarat motorunu korudu.
Roche’a göre şirket ayrıca sorunları düzeltme sürecini otomatikleştirmek için yapay zeka ve makine öğrenimini kullanmaya başladı ve artık en önemli kodlama dillerindeki en yaygın güvenlik açıklarına yönelik sonuçları otomatik olarak üretebiliyor. Müşterilerin artık Veracode’un verileri şirket içinde tutarken bulduğu güvenlik açıklarını otomatik olarak düzeltmek için yapay zekaya yöneldiğini söyledi (bkz: Veracode CEO’su Sam King, Container Security’ye AppSec’e Katılma Konusunda Konuşuyor).
Roche, ISMG’ye “Yazılım geliştirme yaşam döngüsünün her adımında güvenlik açıklarını tespit etmek için daha bütünsel ve kapsamlı bir yaklaşım izliyoruz” dedi. “Kodunuzu ister IDE’de yazıyor olun, ister entegre edip teslim ediyor olun, ister kodu üretime dağıtıyor olun, biz en büyük önerileri mümkün kılan ve sağlayacak olan en kapsamlı yapay zeka çözümüyüz.”
Forrester, Veracode’u ortalamanın altında sır tespiti ve artımlı taramalar, boru hattı taramasında halihazırda önceliklendirilmiş onayların eksik olması ve Veracode Fix ile ürünün geri kalanı arasındaki entegrasyon eksikliği nedeniyle azarladı. Roche, Veracode’un değer elde etme süresini artırmak ve her şeyi tek bir komut satırının arkasında tutmak için eklenti sistemini tamamen yeniden tasarladığını ve önümüzdeki ay entegrasyon cephesindeki güncellemelerin geleceğini söyledi.
Roche, “Müşterilere hızlı bir şekilde değer kazandırmak istedik” dedi. “Yapay zekanın geliştiriciler tarafından kullanıldığını fark ettik ve bu riskleri ve savunmasız kodun üretim ortamlarına girdiğini gördük.”
Synopsys, SCA ve ASPM ile Sıkı SAST Uyumunu Artırıyor
Yazılım bütünlüğü grubunun ürün yönetimi direktörü Beth Linker, Synopsys’in artımlı analizin hızını ve tutarlılığını artırmak ve derin prosedür analizi yoluyla sorunları daha etkili bir şekilde tespit etmek için temel statik analiz motorlarını iki katına çıkardığını söyledi. Şirket, derin taramaların tutarlılığını kaybetmeden aşamalı olarak çalışmasını sağlayarak hızını ve verimliliğini artırdı.
Linker, Synopsys’in, SAST’ı yazılım kompozisyon analizi ve uygulama güvenliği duruş yönetimi ile birleştiren bir yazılım risk yöneticisini piyasaya sürerek müşterilere statik analize erişmeleri için daha fazla yol sunmak istediğini söyledi. Linker, GitHub, GitLab ve Azure ile entegrasyonların Synospys’in SAST ve yazılım kompozisyon analizine birlikte bakmasını ve sonuçlarla tutarlı bir şekilde ilgilenmesini sağladığını söyledi (bkz: Temyiz Mahkemesi Ticari Sırlar Davasında Özetin Zaferini Onadı).
Linker, ISMG’ye “Hem sınıfının en iyisi hizmet olarak yazılım deneyimi sunmaya hem de bugün birçok müşterimizin kullandığı şirket içi dağıtım seçeneklerine yatırım yapmaya devam etmeye kararlıyız” dedi.
Forrester, Synopsys’i ortalamanın altında tarama hızları, tarama yapılandırması yoluyla yüksek hatalı pozitif oranı ve ASPM’nin raporlama, önceliklendirme ve önceliklendirmeye erişmesini gerektirmesi nedeniyle azarladı. Linker, Synopsys’in çok sayıda özelleştirme seçeneğini ele almak için otomatik yapılandırma yetenekleri geliştireceğini ve zeka ve tarama hızlarıyla ilgili çok sayıda projeye yatırım yaptığını söyledi.
Linker, “Uzun süredir devam eden müşterilerimizden bazılarının, bu tür değişiklik yönetiminin ve yeni yeteneklerin tanıtılmasının zor olabileceği çok iyi yapılandırılmış iş akışları var” dedi. “Müşterilerimizin tam avantajdan yararlanmalarına yardımcı olmak için yavaş ve istikrarlı bir şekilde çalıştığımız pek çok harika özelliği kullanıma sunduk.”
Checkmarx, Kodu Güvenlik Açıklarına Karşı Kontrol Etmek İçin Yapay Zekayı Benimsiyor
Checkmarx, geliştiricilerin üçüncü taraf kodlarını kabul etmeden önce güvenlik açıklarına karşı kontrol etmelerine olanak tanıyan bir OpenAI eklentisi sunan ilk SAST satıcısıydı ve CEO Sandeep Johri, şirketin bunu Azure AI’ye genişletmeyi planladığını söyledi. Johri, eklentinin geliştiricilerin OpenAI’yi kullanarak güvenlik açıklarını tespit ettikten sonra nasıl düzeltecekleri konusunda kendilerini eğitmelerine ve yapay zeka tabanlı tehdit vektörlerini etkili bir şekilde ele almalarına yardımcı olduğunu söyledi.
Johri, kodun başlangıçta kontrol edilmesinin kuruluşların kirli kod getirmemesini ve üretken yapay zekadan kaynaklanan daha yüksek kod hızının daha büyük güvenlik iş yüklerine veya daha fazla kusurun geçmesine neden olmamasını sağladığını söyledi. Her tarama motoru, güvenlik açıklarını kendi perspektifinden tanımlar ve Johri, motorlar arasında bağlam sağlamanın bazı potansiyel sorunları ortadan kaldırdığını ve tekilleştirmeyle sonuçlandığını söyledi (bkz.: Checkmarx, Eski Tricentis CEO’su Sandeep Johri’yi Yeni Lider Olarak Seçti).
Johri, ISMG’ye şunları söyledi: “Müşteriler uygulama güvenliği alanında konsolidasyon arıyor ve bu nedenle platformlara yöneliyorlar.” “SAST alanında uzun süredir lideriz. Dolayısıyla SAST kapasitesinin çoğu organik.”
Forrester, Checkmarx’ı şirket içi tekliflerinde otomatik düzeltmenin yanı sıra belirli özelliklerden yoksun olduğu için eleştirdi ve ürün ve hizmetler için karmaşık fiyatlandırmanın müşteriler için zaman alıcı olduğunu söyledi. Johri, Checkmarx’ın 2023 yılı sonuna kadar şirket içi özelliklere sahip olacağını, müşterilere paketleme açısından daha fazla seçenek ve esneklik sunduğunu ve geliştiricilere yapay zeka ile düzeltmelerin nasıl yapılacağı konusunda talimat verdiğini söyledi.
Johri, “Otomatik iyileştirme yapmıyoruz. Müşterilerimizin bu konuda oldukça şüpheci olduklarını gördük” dedi. “Bizim gibi satıcıların nasıl düzeltme yapabileceklerini önermelerini tercih ediyorlar, ancak aslında düzeltmeyi geliştiriciye bırakıyorlar. Başka sorunlar yaratabileceğinden başka bir otomatik motorun kodu değiştirmesini istemiyorlar.”