Checkmarx tarafından yapılan yeni bir araştırma, yazılım geliştiricilerin güvenlik görevlerine ne kadar zaman ayırdığını ortaya koydu. 1.500 geliştirme yöneticisi, platform mühendisi ve yazılım mühendisiyle yapılan ankete göre geliştiricilerin dörtte üçü haftada 17 saatten fazla zamanını güvenlikle ilgili işlere harcıyor.
Güvenlik Zaman Alıcı Ancak Öncelikli Değil
Araştırmanın çarpıcı sonuçlarından biri, geliştiricilerin sadece %21’inin güvenliği kod yazarken en önemli öncelik olarak görmesi. Katılımcıların yalnızca %42’si kendilerine gönderilen güvenlik açığı biletlerini yarı yarıya anlayabildiklerini belirtiyor. Buna rağmen katılımcıların %92.5’i güvenlik eğitimlerinin etkililiğini orta veya yüksek olarak değerlendiriyor.
JFrog tarafından yapılan benzer bir araştırma da geliştiricilerin %19’luk çalışma süresini güvenliğe ayırdığını ortaya koymuştu. Bu durum şirketlere geliştirici başına yılda 28.000 dolara kadar ek maliyet getiriyor.
Checkmarx raporu, geliştirme ve güvenlik ekiplerinin işbirliğini inceleyerek DevSecOps olgunluk seviyelerini ortaya koyuyor. Şirketlerin sadece %30’u geliştirici deneyimine odaklanmaktan daha sofistike süreçler oluşturma aşamasına geçebilmiş durumda. Raporda belirtilen dört olgunluk seviyesi şöyle:
- Reaktif güvenlik: Güvenliğin geliştirme sürecine sonradan eklenmesi
- Güvenlik ekiplerinin hataları geliştiricilere aktarması: Destek ve rehberlik olmadan
- Geliştirici deneyimi odaklı sistem: Güvenlik araçlarının geliştirme ortamına entegre edilmesi
- Olgun DevSecOps: Güvenlik ve geliştirme ekiplerinin yakın işbirliği içinde çalışması
Checkmarx Bölgesel Pazarlama Başkan Yardımcısı Martin Lindsay, “Yüksek performanslı kodun tanımı gereği güvenli kod olduğunu unutmamalıyız” diyerek ekipler arası ortak bir kültür oluşturmanın önemine dikkat çekti.
