Прогресс DevSecOps: результаты исследования Futurum Group
Опрос Futurum Group среди 110 руководителей в сфере безопасности показал, что все компании инвестируют в безопасность цепочки поставок программного обеспечения. В приоритете — управление состоянием безопасности приложений (ASPM), автоматизация и оркестрация DevSecOps, анализ состава безопасности (SCA), защита API и динамическое тестирование безопасности приложений (DAST).
30% респондентов планируют пилотировать инициативы по созданию списка компонентов программного обеспечения (SBOM) в течение следующих 24 месяцев. Финансирование этих инициатив становится общей ответственностью: только 21% компаний выделяют средства исключительно из бюджета безопасности. Половина опрошенных отметила, что команды разработки приложений теперь отвечают за их безопасность.
Сотрудничество между командами разработки и безопасности улучшается. 59% респондентов заявили о хорошем взаимодействии, хотя и с возможностью для улучшений. Только 16% сообщили о тесном партнерстве на основе общих целей.
Проблемы и перспективы
Разработчики часто недовольны необходимостью искать уязвимости в коде, который не используется в продакшене или недоступен извне. Вопрос влияния ИИ на качество кода остается открытым: с одной стороны, ИИ помогает находить уязвимости, с другой — генеративные модели могут создавать код с известными проблемами.
Киберпреступники и государства также используют ИИ для поиска уязвимостей и создания эксплойтов. Это может привести к росту инцидентов, связанных с устаревшим кодом. Командам DevOps стоит пересмотреть свои процессы, чтобы минимизировать риски.
Главный вызов — определить источник финансирования для инструментов и платформ, которые помогут создавать более безопасные приложения. В идеале уязвимости лучше предотвращать, чем исправлять.
