Black Duck’ın yıllık Global State of DevSecOps (DevSecOps’un Küresel Durumu) raporunun en son baskısı, uygulama güvenliğinin mevcut durumuna kapsamlı bir genel bakış sağlıyor. Rapor kapsamında, 1.000’den fazla yazılım geliştiricisi, uygulama güvenliği uzmanı, bilgi güvenliği yöneticisi ve DevOps mühendisi ile anket yapıldı ve bu yıl üç önemli bulgu öne çıktı.

1. Güvenlik ve geliştirme ekipleri arasındaki konular arasına şimdi de Yapay zeka (AI) kod geliştirme, konusu eklendi.
2. Daha entegre, otomatikleştirilmiş bir DevSecOps stratejisi, daha hızlı, yapay zeka özellikli işlem hatlarının güvenliğini sağlamak için çok önemlidir.
3. Çok sayıdaki gürültülü ve net olmayan (yanlış pozitifler de denebilir) test sonuçları, güvenlik ekiplerinin sorunları önceliklendirme becerisini yavaşlatmaya ve geliştiricilerin düzeltme iş akışlarını engellemeye devam ediyor.

Ankete katılanların %90’ından fazlası, kod geliştirmede yapay zekadan faydalandıklarını doğruladı. Raporda belirtildiği üzere, “Yapay zeka tarafından oluşturulan kod”,  IP [intellectual property=fikri mülkiyet] sahipliği ve lisanslama konusunda belirsizlik yaratabilir. Bu durum, özellikle yapay zeka modelinde atıfta bulunmadan açık kaynak veya diğer üçüncü taraf kodlarını içerebilecek veri kümelerini kullandığında söz konusu. Yapay zeka destekli kodlama araçları, kod tabanlarına güvenlik açıkları getirme potansiyeline de sahiptir.

Ancak birçok kuruluş henüz bu riskleri ele almıyor. Rapora göre, ankete katılanların %85’i yapay zeka tarafından oluşturulan kodla ilgili olası sorunları ele almak için bazı önlemleri olduğunu söylerken, yalnızca %24’ü bu önlemlerden “çok emin” olduğunu söyledi. Diğer bir %41’i orta derecede emindi, ancak %26’sı ya “biraz” ya da “hiç” kendinden emin değildi.

Eğer ankete katılanların dörtte biri kendi yazılım güvenlik önlemlerine güvenmediğini bildiriyorsa, ortada ciddi bir sorun var demektir. Bu sorunu daha da karmaşık hale getiren, ankete katılanların %21’i “geliştirme ekiplerinin şirket politikalarını atladığını ve onaylanmamış ve denetimsiz yapay zeka araçları kullandığını” kabul ediyor.

Birçok endüstri yapay zeka için istekli, diğerleri ise temkinli

2024 “DevSecOps’un Küresel Durumu” raporu, çoğu kuruluşun yapay zeka destekli geliştirme araçlarına nasıl izin verileceği ve kullanılacağı konusunu incelediğini gösteriyor. Sonuçlar, geliştiricilerin ya işin başından kod geliştirirken, ya da başlamış oldukları kodu tamamlamak için yapay zekayı kullandıklarını gösteriyor.

Rapor, kuruluşların %27’sinin geliştiricilerin kod yazmak ve projeleri değiştirmek için yapay zeka tabanlı araçları kullanmasına izin verdiğini belirtiyor. Ayrıca, kuruluşların %43’ünün şu anda yapay zeka çözümlerinin kullanımını belirli geliştiriciler veya ekiplerle sınırladığını gösteriyor. Yalnızca %5’i yapay zeka destekli geliştirmeyi henüz benimsemediklerini ve geliştiricilerinin yapay zeka geliştirme araçlarını kullanmadığından emin olduklarını bildiriyor. Bununla birlikte, rapor ayrıca kuruluşların %21’inin en azından bazı geliştiricilerin organizasyonel yasaklara rağmen geliştirme aşamasında yapay zeka araçlarını kullandığının farkında olduğunu belirtiyor.  

Bu son istatistik endişe verici. Yapay zeka tabanlı geliştirme araçlarının herhangi bir yetki mekanizması olmaksızın kullanımı büyük bir kurumsal risk yaratır. Güvenlik ekipleri için, yapay zeka araçları veya onlardan gelen kodun görünürlüğü önemlidir. Bu görünürlük olmazsa, DevSecOps programlarında yeterli güvenlik düzeyi sağlanması ve üretkenliğin artırılması zorlaşacaktır. Bu istatistiğin bize gerçekten anlatmak istediği şey; kuruluşlar farklı düşünseler de, yapay zeka geliştirme araçları zaten kullanımdadır ve kuruluşlar bunları güvenli bir şekilde uygulamak için bir plan yapmalıdır; yazılım güvenliği risklerinin görünür olmama riski vardır.

Yapay zeka tarafından oluşturulan kod sorunlarının değerlendirilmesi neden zor?

Rapor için ankete katılan kuruluşların yüzde yirmi dördü, yapay zeka tarafından oluşturulan veya tamamlanan kodu değerlendirmek için kullandıkları otomatik mekanizmalara yüksek güven duyduklarını ifade etti. Yanıt verenlerin %41’i bu kodu otomatik olarak test etme kapasitelerine orta düzeyde güven duyduğunu bildirdi. Bu, kuruluşların %20’si yalnızca biraz kendine güveniyor, %6’sı kuruluşlarının hazırlığına hiç güvenmiyor ve %5’i, ya yeterli görünürlüğe sahip olmadığını, ya da bunun mevcut bir öncelik olmadığını bildiriyor.

Bazı kuruluşlar mevcut AppSec altyapılarıyla yapay zeka tarafından oluşturulan kod sorunlarını yönetebilirken, diğerlerinin ek güvenlik kaynakları tahsis etmesi, test araçlarını birleştirmesi, otomatik test mekanizmalarını entegre etmesi ve projeler ve ekipler arasında politikaları birleştirmesi gerekebilir. Bu önlemler, kuruluşlarının geliştirme hatlarındaki (DevOps pipeline) değişikliklere yapay zekanın onları iteceği kadar hızlı uyum sağlamaları için güvenlik ağları ve güvenlik kapıları kurmalarına olanak tanıyacak.

Uygulama güvenliği sorunlarına ek olarak, yapay zeka destekli geliştirmenin, yazılım lisansı uyumluluğuyla ilgili sorunlara yol açabileceğini ve üçüncü taraf kodunu ilişkili karşılıklı lisanslarla birleştirerek fikri mülkiyeti potansiyel olarak tehlikeye atabileceğini de unutmamak gerekir.

Kuruluşunuz durumun farkında mı, yoksa kendi kendini sabote mi ediyor?

Bu yılki “DevSecOps’un Küresel Durumu” raporunun açıkça ortaya koyduğu bir şey, yapay zeka destekli geliştirmeyi benimseyen kuruluşların bu konuya farklı seviyelerde ihtiyatla yaklaştığıdır. Kilit faktör, her kuruluşun kendi güvenlik protokollerine olan güven seviyesidir. Kimi kuruluşlar temkinli bir güvenle ilerlerken, diğerleri geliştirme güvenlikleri konusunda ciddi riskler alıyor gibi görünüyor.

Kuruluşların %27’sinin, bünyelerinde ücretsiz yapay zeka kullanımına izin vermesi sürpriz değil. Bunların %81’i yapay zekaya yüksek ve orta düzeyde güven duyduğunu bildiriyor. Bu kuruluşlar harekete geçmeye hazırdır ve riski azaltmak için kontrollere sahip olduklarından emindirler. Bununla birlikte, yapay zeka destekli geliştirmeye daha aşamalı bir yaklaşım benimseyen katılımcıların %43’ünün, yalnızca belirli geliştirme ekiplerinin işlerinde kullanmasına izin verirken bile yapay zeka tarafından oluşturulan kodu güvence altına alma yeteneklerine orta düzeyde güven duyduklarını bildirmeleri biraz şaşırtıcı.

Bu arada, ankete katılan kuruluşların %21’i, yapay zeka tarafından oluşturulan kodun güvenliğini sağlama yeteneklerine genel olarak daha az güven duyarken, geliştirme ekiplerinin güvenliği atlatarak yetkisiz ikincil yapay zeka iş akışları oluşturduğunu da kabul ediyor.

Bununla birlikte, bu kurumların her biri, yapay zeka araçlarını ve çıktılarını geliştirme hatları bağlamında güvence altına alma yeteneklerine yalnızca çok az güvendiklerini veya hiç güvenmediklerini itiraf eden katılımcıları da içerir. Bu grubun en az ilgili alt kümesi, ya hazırlıkta güven eksikliği nedeniyle ya da kullanımı onlar için bir öncelik olmadığı için yapay zeka kullanımına hiç izin vermeyenlerdir. Bu gruptaki bir kuruluş için risk, yapay zeka tarafından oluşturulan kod ve risk azaltma denetimlerinin,  geliştirme aşamasında zaten kullanılmakta olduğunu bilmesine rağmen bir öncelik olmamasıdır. Bu kontrollü kullanım gibi görünse de, risk görünürlüğünü değerlendirmek ve otomatik güvenlik kapıları oluşturmak hala kritik öneme sahiptir.

Ankete katılanların %5’i geliştirmede yapay zekanın kullanılmasına izin vermiyor ve geliştiricilerinin bunu kullanmadığından emin. Yapay zeka riskini yönetme konusundaki bu güvenin bu izin verilmemesinden mi kaynaklandığını yoksa kapıları açmadan önce kontrolleri yerine getirmelerinden mi kaynaklandığını yalnızca tahmin edebiliriz.

Bununla birlikte, bu kuruluşların her birinde, yapay zeka araçlarını ve çıktılarını geliştirme hatları bağlamında güvence altına alma yeteneklerine pek güvenmediklerini itiraf eden katılımcılar da mevcuttur. Bu grubun bir alt kümesi de, güven eksikliği veya kullanım önceliği olmadığı için yapay zeka kullanımına tümden izin vermeyenlerdir. Bu gruptaki bir kuruluş için risk, yapay zekanın geliştirme aşamasında zaten kullanılmakta olduğunun bilinmesine rağmen, risk azaltma denetimlerinin bir öncelik olmamasıdır. Bu kontrollü kullanım gibi görünse de, risk görünürlüğünü değerlendirmek ve otomatik güvenlik kapıları oluşturmak hala kritik öneme sahiptir.

Bununla birlikte, en fazla risk altında olan grup, riskleri azaltma hazırlıklarında açık bir güven eksikliği olduğunu bildirmelerine rağmen, geliştirme sırasında yapay zeka kullanımına izin verdiklerini bildiren katılımcılardır.

Yapay zeka geliştirmenin yarattığı riskler, geleneksel uygulama geliştirmenin oluşturduğu risklere benzer olsa da (örneğin, zayıf kaynak kodu, savunmasız açık kaynak), daha da hızlı bir şekilde ortaya çıkarlar. Geçen yıl, bu DevSecOps anketine yanıt veren kuruluşların %38’i, iş açısından kritik uygulamalarını haftada bir daha az test etti. Ve bunların yalnızca %36’sı AppSec testinde işlevler arası ekipleri içeriyordu. Ayrıca, ankete katılanların yalnızca %5’i kritik sorunları bir hafta içinde çözebildiğini bildirdi. Bu, yapay zeka geliştirme araçları daha yaygın olarak kullanılmaya başladıkça işe yarayacak bir güvenlik duruşu değildir.

Yapay zeka destekli geliştirme nasıl güvence altına alınabilir?

Yapay zeka destekli geliştirme araçlarının sürekli olarak benimsenmesinin ışığında, kuruluşların bir saldırı için fırsat penceresini kapatan bir strateji oluşturması gerekiyor. Çoğu kuruluş, geliştirme hatlarında açık kaynak bağımlılıklarını barındırmayı öğrenmiştir ve yayınlandıkça güvenlik açıklarını keşfetmek için sistemler oluşturmuştur, böylece zamanında yama ve güncelleme yapabilirler. Çoğu kuruluş, zayıflıkları ve güvenli olmayan yapılandırmaları tespit etmek için özel kaynak kodunu düzenli olarak test eder. Yapay zeka destekli geliştirmenin ihtiyaçlarını bu süreçlere dahil etmek için güvenlik ve geliştirme ekipleri, her grubun verimlilik ve güvenilirlik ihtiyaçlarını karşılayan bir DevSecOps araç seti kullanarak işbirliği yapmalıdır.

“DevSecOps’un Küresel Durumu” raporu tarafından toplanan veriler, DevSecOps programınızı güvenli ve hızlı bir şekilde geliştirmeniz için dört temel yol olduğunu göstermektedir.

1. Geliştiricilerle bulundukları ortamda buluşun. Doğrudan geliştirme araçlarına ve iş akışlarına yönelik testler ve içgörüler oluşturarak, güvenliği sorunsuz hale getirir ve geliştiricilerin güvenliği atlatma isteğini en aza indirebilirsiniz.
2. Yığın genelinde testi entegre edin ve otomatikleştirin. Risk toleransı politikalarına uygun otomatik testleri entegre ederek güvenlik kapıları oluşturur, geri bildirim döngülerini sıkılaştırır ve yapay zekaya olan gizli güveni ortadan kaldırabilirsiniz.
3. Geliştiricilerin güvenlik yeteneklerini geliştirin. Geliştiricileri risk farkındalığı ve yapay zeka destekli düzeltme rehberliği ile güçlendirerek, her sürümde daha yüksek geliştirme standartları geliştirebilir ve güvenlik açıklarını hızla düzeltebilirsiniz.
4. Kalıcı bir strateji ile evrim için plan yapın. Politikaları, içgörüleri ve testleri esnek bir uygulama güvenliği test platformunun üzerinde birleştirerek, işinizle birlikte büyüyecek bir DevSecOps stratejisi oluşturabilirsiniz.

İleriye dönük olarak, en başarılı kuruluşlar muhtemelen AppSec teknoloji yığınlarını etkili bir şekilde düzene sokabilen, geliştirme sırasında yapay zekadan sorumlu bir şekilde yararlanabilen, güvenlik testi sonuçlarındaki gürültüyü azaltabilen ve güvenlik, geliştirme ve operasyon ekipleri arasında daha yakın işbirliğini teşvik edebilen kuruluşlar olacaktır. DevSecOps yolculuğu sürmekte ve yapay zeka destekli geliştirme, kuruluşları her zamankinden daha hızlı bir şekilde bu yola itiyor. Bu yılki “DevSecOps’un Küresel Durumu” raporu, yavaşlamadan daha güvenli bir şekilde yol almanız için yardımcı oluyor.

DevSecOps 2024’ün Küresel Durumu Raporu

En son DevSecOps raporunda yapay zeka tarafından oluşturulan kod da dahil olmak üzere güvenli yazılım geliştirmedeki en son içgörüleri ve eğilimleri keşfedin. Raporu buradan indirebilirsiniz.