Почти половина компаний сознательно оставляет уязвимый код в ПО, чтобы побыстрее развернуть программы

Стремление к ускорению разработки и развертывания приложений превратилось из простой задачи разработчиков в приоритет бизнес-уровня, влияющий на чистую прибыль каждой компании. Для достижения данной цели организации перешли к модели DevSecOps, чтобы обеспечить повышенную «гибкость и скорость жизненного цикла разработки программного обеспечения».

Уязвимый код в ПО появляется чаще, чем следовало бы, однако почти в половине случаев это происходит вполне сознательно. По результатам исследования , проведенного специалистами из ESG, почти половина (48%) организаций регулярно выпускают уязвимый код и знают об этом.

Как выяснили эксперты, 54% компаний пытаются уложиться в критический срок, планируя исправить проблемы в более позднем выпуске, 49% — считают это вовсе не опасной проблемой, а 45% организаций запускают уязвимый код, потому что уязвимости были обнаружены слишком поздно в процессе разработки, чтобы можно было устранить их.

Таким образом, приоритет бизнеса, заключающийся в скорости разработки и развертывания, затмевает потребность в безопасном коде. Организации осознают различные риски, касающиеся кибербезопасности, скорости и бизнес-цели, и они готовы взять на себя некоторые из этих рисков, поскольку приоритеты противоречат друг другу.

Разработчики, которые в конечном итоге несут ответственность за исправление проблем в коде, зачастую недостаточно обучены или не имеют доступа к инструментам безопасности с надлежащей интеграцией, чтобы эффективно устранять уязвимости. 29% разработчиков не обладают необходимыми знаниями для устранения проблем, 26% — столкнулись с трудностями или отсутствием интеграции между различными инструментами поставщиков AppSec, 26% разработчиков заявили, что инструменты тестирования замедлили циклы разработки, а 35% организаций утверждают, что менее половины их команд разработчиков проходят формальное обучение AppSec.