Безопасность программного обеспечения (ИБ) остаётся одной из наиболее актуальных тем в мире технологий. Отчет State of Software Security 2025 от компании Veracode раскрывает текущие проблемы и вызовы в сфере безопасности программного обеспечения, акцентируя внимание на так называемом “ИБ-долге” и его влиянии на компании. В отчет включены данные о важности своевременного устранения уязвимостей, повышении способности исправлять проблемы с безопасностью и внедрении искусственного интеллекта для улучшения процессов безопасности.
1. Проблемы безопасности в 2025 году
1.1. Увеличение угроз и сложности атак
В 2025 году количество угроз, связанных с эксплуатацией уязвимостей в программном обеспечении, увеличилось почти в три раза. Согласно отчету Verizon 2024, 180% рост использования уязвимостей в качестве критического пути для атак подтверждает увеличение числа кибератак, особенно в условиях растущей сложности программных экосистем.
1.2. ИБ-долг: Причины и последствия
ИБ-долг — это термин, который описывает накопление неустраненных уязвимостей в коде, особенно тех, которые остаются не исправленными более года. Проблема усугубляется использованием стороннего кода и библиотек, которые часто становятся источником уязвимостей. Согласно отчету Veracode, более 70% ИБ-долга связано с использованием стороннего кода и поставок из открытых источников.
1.3. Влияние искусственного интеллекта на безопасность
С развитием ИИ, особенно в контексте генераторов кода, появляются новые риски, поскольку автоматизированное создание кода может привести к внедрению уязвимостей. В то же время ИИ предлагает возможности для более эффективного обнаружения и устранения угроз, что позволяет ускорить процессы устранения уязвимостей и снизить нагрузку на команды безопасности.
2. Ключевые выводы отчета Veracode
2.1. Прогресс в безопасности приложений
Отчет показывает, что количество приложений, которые успешно проходят тесты на безопасность по стандартам OWASP Top 10, увеличилось на 63% за последние пять лет. Однако, несмотря на позитивные изменения, количество приложений с уязвимостями высокой степени серьезности увеличилось на 181% с 2020 года.
2.2. Проблемы с устранением уязвимостей
Данные исследования подтверждают, что устранение уязвимостей остаётся сложной задачей. Среднее время для исправления половины уязвимостей, известных в компании, увеличилось на 47% в последние пять лет. Усложнение программных экосистем и рост объёмов стороннего кода становятся основными проблемами в быстроте устранения дефектов.
2.3. Проблема “ИБ-долга”
По данным отчета, 74% организаций имеют ИБ-долг, а 50% — критический ИБ-долг. Это означается, что значительная часть компаний сталкивается с рисками, связанными с давно не устранёнными уязвимостями, что создаёт угрозу безопасности и нарушает защиту конфиденциальности и целостности данных.
3. Практические рекомендации для устранения ИБ-долга
3.1. Обеспечение полного обзора в процессе безопасной разработки
Рекомендуется автоматизировать сканирование на всех этапах жизненного цикла разработки ПО (SDLC). Это позволяет выявлять новые уязвимости до того, как код будет опубликован в действующем приложении. Внедрение инструментов для анализа кода (SAST, DAST, SCA) помогает предотвратить накопление рисков и улучшить показатели безопасности.
3.2. Использование ИИ для автоматизации устранения уязвимостей
ИИ может быть использован для приоритизации и устранения менее сложных уязвимостей. Это позволяет ускорить процесс исправления простых и повторяющихся ошибок, позволяя командам сосредоточиться на более сложных задачах.
3.3. Внедрение политики Secure-by-Design
Разработка и внедрение политики, направленной на соблюдение безопасных практик программирования, являются ключевыми для предотвращения угроз. Использование стандартов OWASP и регулярные код-ревью позволяют интегрировать безопасность на ранних этапах разработки, что значительно снижает риски.
3.4. Приоритизация устранения уязвимостей высокого риска
Создание процесса, который будет уделять особое внимание уязвимостям с высоким уровнем серьёзности и эксплуатируемости, помогает снизить реальную угрозу безопасности, особенно при ограниченных ресурсах на устранение рисков.
3.5. Выделение времени на устранение ИБ-долга в спринтах
Резервирование части времени в каждом спринте для решения задач по устранению ИБ-долга становится важной практикой для организаций, стремящихся поддерживать безопасность приложений на высоком уровне.
3.6. Обеспечение безопасности сторонних и open-source компонентов
Необходимо постоянно сканировать сторонний код для предотвращения внедрения компонентов с известными уязвимостями. Использование фаервола для анализа и обнаружения уязвимостей в сторонних библиотеках помогает минимизировать риски.
3.7. Адаптация стратегий под возраст и язык приложений
Особое внимание следует уделить старым кодовым базам и приложениям, разработанным на устаревших языках программирования, поскольку такие проекты чаще всего имеют накопленный ИБ-долг, что делает их приоритетом для улучшений.
4. Заключение
Отчет Veracode State of Software Security 2025 подчеркивает важность стратегии по управлению ИБ-долгом и улучшению безопасности на всех этапах разработки программного обеспечения. Использование передовых инструментов, таких как ИИ и автоматизированные системы анализа кода, а также внимание к сторонним компонентам и открытым библиотекам, помогут организациям эффективно бороться с накоплением уязвимостей и значительно повысить уровень защиты от киберугроз.
Author: admin
Related Posts
ИИ и кибербезопасность в 2025 году: эволюция угроз и путь к зрелости
Киберугрозы 2025: Геополитика, вымогатели и уязвимости цифровой эпохи
