Yazılım şirketlerinin ve geliştirme ekiplerinin güvenli kodlamanın kültürlerinin bir parçası haline gelmesi için uzun bir yolu var, ancak hem programcıların hem de şirketlerinin güvenliği daha ciddiye aldığına dair işaretler var.
Geliştiricilerin yalnızca %14’ü kodlama yaparken uygulama güvenliğini en önemli öncelikleri olarak görürken, güvenlik eğitimi şirketi Secure tarafından 1200 aktif yazılım geliştiricisi arasında yürütülen bir ankete göre, üçte ikisi uygulama güvenliğinin önümüzdeki 12 ila 18 ay içinde daha önemli hale geleceğine inanıyor. Ankete göre Code Warrior ve pazar istihbarat şirketi Evans Data Corp. Kod kalitesi, uygulama performansı ve gerçek dünyadaki sorunları çözme, geliştiricilerin yarısından fazlasını (%56) oluşturan en önemli üç önceliktir.
Secure Code Warrior CEO’su ve kurucu ortağı Pieter Danhieux, şirketlerin geliştirme kültürlerine güvenli kodlamayı dahil etmede ilerleme kaydettiklerini ancak hala önemli zorluklarla karşı karşıya olduklarını söylüyor.
“Sonuçlar cesaret verici, çünkü geliştiriciler aktif olarak yazılım güvenliğinin daha yüksek bir öncelik olmasını bekliyor” diyor. “Ancak, aşılması gereken bir uçurum var. Eski alışkanlıkların kırılmasının zor olduğunu biliyoruz ve kuruluşların daha iyi kod kalitesi ve güvenliği teşvik eden ortamlar oluşturma sorumluluğunu üstlenmesi gerekiyor.”
Güvenli Kod Savaşçısı Geliştiriciye Dayalı Güvenlik Durumu 2022 araştırması geliştiricilerin uygulama güvenliğine yönelik tutumlarına ilişkin önceki çalışmalarla uyumludur. Örneğin, açık kaynak katkıda bulunanlarla ilgili 2020’de yapılan bir anket, çoğu programcının yeni özellikler kodlamak, araçları geliştirmek ve yeni fikirler üzerinde çalışmak istediğini, güvenliğin ise öncelik açısından son sırada geldiğini buldu.
Bu son anket, güvenliği geliştirme hattına dahil etmenin hala zor olduğunu vurguladı. Geliştiricilerin yaklaşık yarısı (%48) bilerek güvenlik açıkları içeren kod gönderirken, diğer %19’u projelerinden bazılarının bilinen güvenlik açıkları olduğuna inanıyor.
Geliştirici, güvenliğe odaklanma eksikliğini açıklamak için çeşitli rakip güçlere işaret etti. Örneğin, geliştiricilerin dörtte biri (%24), bir projenin başlangıcında güvenli kodlamayı entegre etmek için yeterli zamana sahip değilken, geliştiricilerin %19’u şirketin güvenli kodlamayı uygulamak için birleşik bir planı olmadığını düşünüyordu.
Anket raporunda, “Bütün bu çabaların ortak noktası, geliştirici topluluğunun çok ihtiyaç duyulan bu değişiklikleri gerçekleştirmeye yardımcı olmak için gelişen bir güvendir” dedi. “Bir geliştiricinin bakış açısından, bu güvenlik hareketleri, ona doğru kaymaktan ziyade ‘soldan başlamak’ ile ilgilidir, çünkü sürece doğru bir şekilde başlamanın nihai sorumluluğu onlarla başlamalıdır.”
Daha İyi Güvenlik, Daha Az Yeniden Çalışma
Geliştiriciler, daha iyi uygulama güvenliğinin ekiplerin uzun vadede daha üretken olmasına yardımcı olduğunu anlıyor. Ankete katılanların yarısından fazlası, güvenli kodlamayı güvenlik açıklarını (%53) ve hataları (%52) ortadan kaldırmanın bir yolu olarak görüyor ve bu da ileride yeniden çalışmayı ortadan kaldırıyor.
Ek olarak, geliştiricilerin %41’i projelerinde işlevsellik ve güvenliği eşit temellere yerleştirdi ve yarısı (%49) güvenli kodlamayı temel bir hedef olarak gördü.
Danhieux, “Geliştiriciler iyi bir iş çıkarmak istiyor” diyor. “Kasıtlı olarak zayıf kodlama kalıpları oluşturmaya veya güvenlik riskleri oluşturmaya çalışmıyorlar, ancak bundan kaçınmak için, mantıklı bir eğitimle doğru yolu göstermeleri gerekiyor ve aslında onlara zaman verilmiş.”
Ancak uygulama güvenliği eğitimi hala yetersiz kalıyor. Geliştiricilerin yüzde otuzu, eğitimin işleriyle ilgili daha gerçek dünya örneklerine odaklandığını görmek isterken, geliştiricilerin dörtte biri (%26) etkileşimli eğitim istiyor.
Güvenlik Açığı Kadercilik
Anket ayrıca birçok şirketin güvenli bir programı neyin oluşturduğuna veya güvenli kodlamayı neyin oluşturduğuna dair bir tanımdan yoksun olduğunu da ortaya koydu. Çoğu şirket (%61), güvenli olduklarına inanıldığı için onaylanmış bileşenleri ve kitaplıkları kullanırken, statik uygulama güvenlik testi (SAST) ve dinamik uygulama güvenlik testi (DAST) gibi neredeyse bir o kadar çok sayıda aktif olarak çalışan analiz aracı kullandı.
Yine de neredeyse bir kadercilik duygusu var – geliştiricilerin tüm güvenlik açıklarını asla yakalayamayacakları – ve şirketlerin proaktif olarak kod güvenliğini sağlamaya veya en son güvenlik açıklarına tepki vermeye devam edip etmeyeceklerini göreceğiz, diyor Danhieux.
“Güvenli olmayan kod kabul edilebilir bir iş riski olarak kabul edilirse, müşteri beklentileri ve siber güvenlikte giderek artan güçlü uyumluluk ve düzenleyici önlemler bir yana, modern tehdit ortamına yeniden uyum sağlamak için güvenlik programının elden geçirilmesi gerekiyor” diyor.