מחקר של IDC חושף: מפתחים מתמקדים יותר ויותר באבטחת התוכנה- מה שמשפיע על היתרון התחרותי של ארגונים
ממצאי המחקר מגלים כי חברות מוציאות 28,000$ בממוצע לכל מפתח מדי שנה על טיפול בבעיות אבטחת תוכנה.
ענקית התוכנה הישראלית JFrog (נסדאק: FROG), פרסמה את ממצאי המחקר של IDC המצביע על כך שמפתחים משקיעים יותר ויותר זמן רב יקר על בעיות הקשורות לאבטחת תוכנה. על פי ממצאי המחקר, חברות מוציאות $28,000 מדי שנה בממוצע לכל מפתח על משימות הקשורות לאבטחת התוכנה, בין היתר על סריקות ידניות של אפליקציות, מיפוי הקשרים, איתור סיסמאות שדלפו ועוד.
במחקר של IDC, שנקרא, “העלות הנסתרת של DevSecOps”, נמצא גם כי 50% מהמפתחים הבכירים, מנהלי הצוותים, מנהלי המוצר ומנהלי הפיתוח חוו עלייה משמעותית במספר השעות השבועיות המושקעות במשימות הקשורות לאבטחת תוכנה, דבר שפוגע ביכולתם לפתח ולהפיץ אפליקציות חדשניות.
“אבטחת שרשרת אספקת התוכנה מציבה אתגרים משמעותיים עבור ארגונים, והיא הופכת למורכבת אף יותר כאשר נעשה שימוש במספר כלים שונים, דבר המחייב את המפתחים ואנשי אבטחת המידע לעבור בין סביבות מרובות, ופוגם ביעילות תהליכי הפיתוח תוך בזבוז זמן יקר והגדלת סיכוני האבטחה”, אומר אסף קרס, CTO של JFrog Security. “ממצאי המחקר ממחישים את החשיבות של השקעה של ארגונים וחברות בהכשרה של המפתחים על מנת להעניק להם כלים לייעול תהליכי האבטחה, כדי להעצים אותם ולאפשר להם לעבוד ביעילות רבה יותר, תוך הגנה חזקה יותר על שרשרת אספקת התוכנה”.
מחצית מהנשאלים בסקר השיבו כי הם משקיעים כ-19% מהשעות השבועיות שלהם על משימות הקשורות לאבטחה, לעתים קרובות מחוץ לשעות העבודה הרגילות, מה שעלול להוביל לגישה ריאקטיבית לאבטחה במקום גישה פרואקטיבית.
ממצאים מרכזיים נוספים:
- צמצום התראות שווא (False Positive): מפתחים מבלים 3.5 שעות בממוצע בבדיקה ידנית של ממצאי סריקת אבטחה בגלל ממצאים שגויים וכפילויות.
- 69% מהמפתחים מסכימים או מסכימים מאוד כי האחריות הקשורה לאבטחה מחייבת אותם לעבור לעתים קרובות בין כלים שונים, מה שמאט את יעילות העבודה. ריבוי כלים בשימוש עלול להגדיל את השימוש במפתחות גישה (Tokens) כדי לעקוף את האימות מחדש לכל פלטפורמה. בעוד שאותם מפתחות יכולים להיות שימושיים בפיתוח יישומים, הם עשויים באותה עת להישכח במהירות ולהשאיר פרצות “Back Doors” פתוחות במערכות של החברות- החושפות אותן למתקפות.
- מפתחים מקדישים 50% מזמנם להבנת ופירוש תוצאות סריקת סודות, ביצוע שינויים בקוד כדי לתקן ממצאים, ועדכון אמצעי ניהול סודות.
- תשתית כקוד (IaC) – המשמש לאוטומציה של אספקה וניהול של תשתיות IT, כגון שרתים, רשתות, מערכות הפעלה ואחסון – נדרשת סריקה בכל פעם שקוד משתנה- אך יותר מ-54% מהמפתחים השיבו שהם מפעילים סריקות IaC באופן שבועי או חודשי.
- למרות שכלים לבדיקת אבטחה סטטית של יישומים (SAST) משולבים בסביבות פיתוח מקומיות כדי לספק ממצאים בזמן הפיתוח, רק 23% מהמפתחים מריצים סריקות SAST לפני שהם מעבירים את הקוד לסביבת הייצור (production), מה שמותיר פרצה פתוחה המאפשרת לקוד זדוני לחמוק דרכה.
“DevSecOps אינו רק חובה עסקית; אלא אבן יסוד בבניית היישומים המאובטחים של העתיד. עם זאת, קיים אתגר משמעותי בהתגברות על כלים לא יעילים המיושמים בצורה כושלת שמבזבזים את זמנם של המפתחים ומנפחים עלויות” אומרת קטי נורטון, מנהלת מחקר, DevSecOps ואבטחת שרשרת אספקת התוכנה ב-IDC. “מנהלי צוותי פיתוח וה-IT חייבים לבצע אוטומציה של המשימות החוזרות אשר גוזלות זמן יקר על מנת להבטיח שכלי DevSecOps יהיו מדויקים, עם מינימום של התראות שווא (False (Positive. יש לספק למפתחים כלים וידע בתחום אבטחת היישומים כדי שיוכלו לעמוד בקצב האיומים ההולך וגדל במהירות.”
הסקר נערך בקרב מפתחים בכירים, מנהלי צוותים, מנהלי מוצר ומנהלי פיתוח מחברות בלמעלה מ-20 תעשיות עם למעלה מ-1,000 + עובדים ברחבי ארה”ב, בריטניה, צרפת וגרמניה.
לדו“ח המלא https://jfrog.com/the-hidden-cost-of-devsecops-ps :
תמונת כותרת: אסף קרס, CTO של JFrog Security , קרדיט: Jfrog