Почти все новые приложения имеют уже известные уязвимости. Сфера AppSec в системном кризисе
Почти все организации (98%) столкнулись с уязвимостями в собственных приложениях, а доля компаний, переживших четыре и более инцидента год к году выросла на 11 процентных пункта. Отчет компании Checkmarx фиксирует, что большинство организаций выпускают свой продукт в коммерческую эксплуатацию с уже известными уязвимостями. Подробнее о причинах таких запусков и о количестве уязвимостей в материале SecPost.
Компания Checkmarx опубликовала отчёт «Будущее безопасности приложений в эпоху искусственного интеллекта» (The Future of Application Security in the Era of AI), посвящённый ключевым вызовам и трансформации подходов к защите приложений. Исследование основано на опросе более 1500 специалистов по всему миру — CISO, менеджеров по безопасности и руководителей разработки. Оно показывает, как широкое использование искусственного интеллекта, распространение cloud-native архитектур и рост сложности цепочек поставок радикально меняют ландшафт угроз и делают традиционные методы AppSec недостаточными.
Редакция SecPost проанализировала документ и предлагает вниманию читателей основные выводы, статистику и рекомендации, которые формируют повестку безопасности приложений в 2025 году.
Кризис готовности (The AppSec Readiness Gap)
Отчёт фиксирует системный кризис в области безопасности приложений.
Рост инцидентов. За последние 12 месяцев с уязвимостями в собственных приложениях столкнулись 98% организаций (против 78% в 2023 году и 91% в 2024-м). Причём доля компаний, переживших четыре и более инцидента, выросла с 16% до 27% год к году. Последствия включают простои бизнеса (38%), финансовые потери (35%) и репутационный ущерб (32%).
Сознательное нарушение правил. 81% компаний признают, что выпускают в продакшен код с известными уязвимостями. Главные причины: давление сроков (38%), перенос исправлений на будущие релизы (36%) и надежда, что уязвимость останется незамеченной (33%). Это говорит не о нехватке инструментов, а о сбое в управлении рисками, когда скорость разработки берёт верх над безопасностью.
Новые угрозы – старые подходы. Основные источники рисков очевидны: сторонние библиотеки и поставщики (35%), ошибки в настройке облака (34%). При этом две трети кода (67%) собирается из открытых компонентов, а средства защиты используются слабо: динамический анализ кода (DAST) внедрён лишь у 47% компаний, проверка инфраструктуры (IaC) – у 48%, защита контейнеров – у 53%. Инструменты формально есть, но они разрознены и не интегрированы, создавая иллюзию защищённости при сохраняющихся уязвимостях.
Роль ИИ как источника рисков и потенциального решения (AI: The Curse and The Cure)
Искусственный интеллект стал ключевым фактором трансформации AppSec – одновременно усиливая риски и открывая новые возможности.
«Теневой ИИ». Ассистенты на базе ИИ уже прочно вошли в практику разработки: ими пользуются 50% респондентов, а 34% компаний сообщили, что свыше 60% кода генерируется с их помощью. Но процессы контроля фактически отсутствуют: лишь 18% организаций имеют перечень одобренных инструментов, а 20% признают несанкционированное использование AI-сервисов разработчиками. Это создаёт слепые зоны («Shadow AI»), где невозможно гарантировать происхождение и качество кода.
Защитный потенциал. Одновременно ИИ воспринимается как союзник в сфере безопасности. По мнению респондентов, он способен:
- автоматизировать ответы на вопросы разработчиков (40%),
- обучать уязвимостям в реальном времени (39%),
- анализировать данные безопасности и давать рекомендации (39%),
- ускорять устранение уязвимостей (25%).
Таким образом, ИИ становится двойственным фактором: неконтролируемое использование повышает уровень угроз, но при правильном управлении он может существенно усилить защиту.
Стратегические направления развития AppSec
В отчёте Checkmarx выделено три основных направления, определяющих будущую трансформацию AppSec.
1. Культура и ответственность. Безопасность должна быть встроена в корпоративную культуру и оцениваться так же, как скорость релизов. Это означает использование KPI для качества и защищённости кода, а также переход к общей ответственности, где разработчики воспринимают безопасность как часть своей работы.
2. Сквозная интеграция технологий. Защита должна охватывать весь жизненный цикл — от написания кода до работы в облаке. Важно не просто покупать инструменты (SAST, DAST, ASPM), а глубоко интегрировать их в CI/CD и сделать естественной частью процессов.
3. Управление ИИ. Запреты не работают – необходимо управлять использованием AI-инструментов. Это включает утверждённый перечень сервисов, правила применения и аудит кода, созданного ИИ. При этом нужно готовиться к следующему шагу – автономным системам, которые смогут выявлять и устранять уязвимости в реальном времени.
Заключение и выводы
В отчёте подчёркивается, что в 2025 году безопасность приложений перестаёт быть узкой технической задачей и становится стратегическим фактором бизнеса. От зрелости AppSec напрямую зависят непрерывность работы компаний, скорость вывода продуктов на рынок и доверие клиентов.
Главный вызов – разрыв между темпами разработки, ускоряемыми искусственным интеллектом, и возможностями традиционных практик безопасности. Закрыть этот разрыв можно только через единую стратегию, которая сочетает три элемента: культурный сдвиг в сторону общей ответственности, технологическую интеграцию платформенных решений и разумное управление ИИ как источником рисков и инструментом защиты.
Компании, которые продолжают воспринимать AppSec как «барьер на этапе тестирования», рискуют столкнуться с нарастающими убытками – от утечек и репутационных потерь до падения производительности разработки. Будущее принадлежит тем, кто встроит безопасность в саму основу процессов и сделает её частью ДНК цифрового бизнеса.
Получить отчет можно по ссылке.
