חברות משקיעות 28 אלף דולר בשנה לכל מְפתח תוכנת אבטחה

ארגונים מוציאים 28 אלף דולר מדי שנה, בממוצע לכל מְפתח, על משימות הקשורות לאבטחת התוכנה – בין היתר: על סריקות ידניות של אפליקציות, מיפוי הקשרים, איתור סיסמאות שדלפו ועוד; כך לפי מחקר שערכה IDC ביוזמת JFrog Security הישראלית.

המחקר, "העלות הנסתרת של DevSecOps", העלה כי מפתחים מתמקדים יותר ויותר באבטחת התוכנה, מה שמשפיע על היתרון התחרותי של ארגונים.

New @IDC research, sponsored by @jfrog, shows that developers are spending more time than ever on security tasks, with companies paying up to $28K per developer per year!

🔗Discover more: https://t.co/9jVC1MvjGS#DevSecOps #Cybersecurity #ISBNews

— Information Security Buzz (@Info_Sec_Buzz) October 11, 2024

"המפתחים רודפים אחרי רוחות רפאים" 

המחקר העלה כי 50% מהמפתחים הבכירים, מנהלי הצוותים, מנהלי המוצר ומנהלי הפיתוח – חוו עלייה משמעותית במספר השעות השבועיות המושקעות במשימות הקשורות לאבטחת תוכנה – דבר שפוגע ביכולתם לפתח ולהפיץ אפליקציות חדשניות.

מחצית מהמשיבים משקיעים כ-19% מהשעות השבועיות שלהם על משימות הקשורות לאבטחה, לעתים קרובות מחוץ לשעות העבודה הרגילות, מה שעלול להוביל לגישה תגובתית לאבטחה, במקום פרואקטיבית.

החוקרים ציינו כי "המפתחים רודפים אחרי רוחות רפאים": הם מבלים 3.5 שעות בממוצע בבדיקה ידנית של ממצאי סריקת אבטחה, בגלל ממצאים שגויים וכפילויות. 69% מהמפתחים אמרו כי בשל אחריותם לאבטחה, הם חייבים לעבור לעתים קרובות בין כלים שונים, מה שמאט את יעילות העבודה. ריבוי כלים בשימוש עלול להגדיל את השימוש במפתחות גישה (Tokens), כדי לעקוף את האימות מחדש לכל פלטפורמה. אותם מפתחות יכולים להיות שימושיים בפיתוח יישומים, אך עלולים להישכח, ולהשאיר פרצות "דלת אחורית" פתוחות.

תשתית כקוד (IaC), המשמשת לאוטומציה של אספקה וניהול של תשתיות IT – כגון שרתים, רשתות, מערכות הפעלה ואחסון – דורשת סריקה בכל פעם שקוד משתנה. אולם יותר מ-54% מהמפתחים השיבו שהם מפעילים סריקות שכאלו רק באופן שבועי או חודשי.

עוד עלה כי למרות שכלים לבדיקת אבטחה סטטית של יישומים (SAST), משולבים בסביבות פיתוח מקומיות, כדי לספק ממצאים בזמן הפיתוח – רק 23% מהמפתחים מריצים סריקות SAST לפני שהם מעבירים את הקוד לסביבת הייצור, מה שמותיר פרצה פתוחה המאפשרת לקוד זדוני לחמוק דרכה.

אסף קרס, ה-CTO של JFrog Security. צילום: יח"צ

"אבטחת שרשרת אספקת התוכנה – אתגר משמעותי לארגונים" 

אסף קרס, ה-CTO של JFrog Security, אמר כי "אבטחת שרשרת אספקת התוכנה מציבה אתגרים משמעותיים עבור ארגונים. היא הופכת למורכבת עוד יותר כשנעשה שימוש בכמה כלים שונים, דבר המחייב את המפתחים ואנשי האבטחה לעבור בין סביבות מרובות. זה פוגם ביעילות תהליכי הפיתוח, מבזבז זמן יקר ומגדיל את סיכוני האבטחה".

קרס הוסיף כי "המחקר ממחיש את החשיבות ההשקעה של ארגונים בהכשרת המפתחים, על מנת להעניק להם כלים לייעול תהליכי האבטחה, ולאפשר הגנה חזקה יותר על שרשרת אספקת התוכנה".

קטי נורטון, מנהלת מחקר, DevSecOps ואבטחת שרשרת אספקת התוכנה ב-IDC, אמרה כי "DevSecOps אינו רק חובה עסקית – אלא אבן יסוד בבניית היישומים המאובטחים של העתיד. עם זאת, קיים אתגר משמעותי בהתגברות על כלים לא יעילים, המיושמים בצורה כושלת, שמבזבזים את זמנם של המפתחים ומנפחים עלויות".

לדברי נורטון, "מנהלי צוותי פיתוח וה-IT חייבים לבצע אוטומציה של המשימות החוזרות, שגוזלות זמן יקר, על מנת להבטיח שכלי DevSecOps יהיו מדויקים, עם מינימום של התרעות שווא. יש לספק למפתחים כלים וידע בתחום אבטחת היישומים, כדי שיוכלו לעמוד בקצב האיומים ההולך וגדל במהירות".