Компания Veracode опубликовала ежегодный отчет State of Software Security, проанализировав данные 1,6 млн приложений. Главный вывод: уязвимости появляются быстрее, чем их успевают исправлять, а стремительная разработка с помощью ИИ превращает полноценную защиту софта в практически нерешаемую задачу.
Исследователи ввели понятие «долга безопасности» (security debt) — это известные уязвимости, которые остаются неисправленными больше года. По данным специалистов, такой долг теперь есть у 82% компаний (годом ранее — 74%). При этом доля серьезных уязвимостей с высокой вероятностью эксплуатации выросла с 8,3% до 11,3%. Данные получены на основе статического и динамического анализа, анализа компонентов ПО (SCA) и ручного пентеста.
Впрочем, есть и позитивные сигналы. Доля приложений с опенсорсными уязвимостями снизилась с 70% до 62%, а общая «распространенность дефектов» упала с 80% до 78%.
Исследователи отмечают, что рост количества выявленных проблем отчасти объясняется более широким применением инструментов тестирования: специалисты находят больше багов, которые раньше попросту пропускали. Количество false positive при этом неизвестно, так что реальная картина может быть не такой мрачной.
Однако в Veracode указывают и на другой фактор: темпы выпуска релизов ускоряются, новый код добавляется быстрее, чем закрываются старые уязвимости. Техническая сложность тоже растет — в том числе из-за увеличения объемов ИИ-генерируемого кода, что затрудняет процесс исправления проблем.
Эксперты подчеркивают важность человеческого контроля над ИИ-инструментами, хотя на практике это работает не всегда. Зачастую безопасность либо отходит на второй план, либо ее целиком делегируют ИИ — со всеми ограничениями и вытекающими последствиями. Также отмечается, что ИИ-инструменты нередко генерируют большое количество ложноположительных срабатываний, создавая неподъемную нагрузку на ревьюеров.
«Скорость разработки в эпоху ИИ делает комплексную безопасность недостижимой, — говорится в отчете. — Отставание в исправлении уязвимостей достигло кризисных масштабов. Постепенных улучшений уже недостаточно — нужны кардинальные изменения».
Что именно должно измениться, специалисты не конкретизируют. Вероятнее всего, индустрия предложит в качестве ответа еще больше ИИ-инструментов, хотя пока это лишь усугубляет ситуацию.
