Uygulama Güvenliğinde “Shift Left”: Gartner Hype Cycle for Application Security, 2024

Gartner Hype Cycle analiz serisinde sıra “Hype Cycle for Application Security” raporuna geldi. “Hype Cycle for Security Operations” raporuna ilişkin hazırladığım analiz yazısına ve “Hype Cycle” nedir? gibi temel bilgilere linkten ulaşabilirsiniz.

Stratejik Planlama Varsayımları

Gartner; raporunda aşağıdaki maddeleri stratejik varsayım olarak belirtmiştir.

• 2025 yılına kadar, Generative AI (GenAI), siber güvenlik kaynaklarına olan talepte bir artışa neden olacak ve bu durum, uygulama ve veri güvenliği harcamalarında %15'ten fazla bir artışa yol açacaktır.
• 2026 yılına gelindiğinde, uygulama geliştirme ekiplerinin %40'ı yapay zeka tabanlı otomatik kod güvenliği düzeltme özelliğini üreticilerinden varsayılan olarak kullanmaya başlayacaklardır.

Raporda Öne Çıkan Teknolojiler ve Trendlere Genel Bakış

Her geçen gün gelişen teknolojiler ile beraber uygulama mimarileri, roller ve saldırılarla ilgili büyük değişiklikler meydana gelmektedir. Bu durum uygulama güvenliği alanındaki süreçleri ve uygulamaları gözden geçirilmesine yönlendirmektedir.

Uygulama güvenliği domainindeki süreç ve uygulamaların değişmesi ile beraber bu domain içinde yer alan her partinin de sorumlulukları değişmektedir. Önümüzdeki dönemlerde artık yazılım geliştirme ekiplerinin yazdıkları kod içerisindeki zafiyetleri tespit etme ve giderme sorumlulukları artmaya başlayacaktır. Yazılım geliştirme sürecinde yazılımcıların performansını arttırmaya yönelik kullanılan GenAI teknolojileri onlara güvenlik konusunda da yardımcı olacaktır. Ancak GenAI teknolojilerinin kullanımı yazılımcılara destek olurken kurum için de ayrı bir risk kategorisi olarak büyük bir yer kaplamaya başlayacağı gözden kaçırılmamalıdır.

GenAI özelinde siber güvenlik gerçekleri ve beklentileri ile ilgili Gartner tarafından hazırlanmış bu görsel durumu daha iyi özetlemektedir.

The Hype Cycle

Hype Cycle for Application Security, 2024 raporunda 26 kategori altında 122 adet tekil üretici olduğunu görüyoruz. Her kategoride ~5 üretici yer almaktadır. Üreticilerin en yoğun olduğu kategori 11 adet üretici ile “API Threat Protection” olmuştur. 

Rapordaki “Maturity” ve “Market Penetration” verilerine göre büyüme potansiyeli en yüksek olan kategoriler ise “Policy as Code”, “Composable Security APIs”, “Crypto-Agility”, “AI Security Code Assistants” ve “AI Security and Anomaly Detection” olarak karşımıza çıkmaktadır. “AI Security Code Assistants” ve “Policy as Code” başlıkları 2 ila 5 yıl içerisinde daha çok gelişerek sektörde daha fazla karşılık bulacağı belirtilmektedir. Bu da kategorilerin çok daha hızlı gelişeceği anlamına gelmektedir.

2024 yılına ait raporda özellikle ASPM (Application Security Posture Management), ASCA (AI Security Code Assistants) ve SSCS (Software Supply Chain Security) konularının öne çıkarıldığı gözlenlenmektedir.

ASPM (Application Security Posture Management)

ASPM, uygulama güvenliğini sürekli olarak yönetmek, güvenlik sorunlarını toplamak, analiz etmek ve önceliklendirmek için kullanılan araçları ifade eder. Bu araçlar, güvenlik ekiplerine ve yazılım mühendislerine risk yönetiminde daha iyi görünürlük ve kontrol sağlar. ASPM, özellikle güvenlik bulgularının önceliklendirilmesi ve müdahale süreçlerinde önemli bir rol oynamaktadır. Uygulama güvenliğindeki partilerin rolleri değiştikçe güvenlik ekipleri de ASPM uygulamaları üzerinden danışmanlık rollerini üstlenmeye başlayacaklardır.

ASCA (AI Security Code Assistants)

Gartner, Generative AI'nın 2025 yılına kadar siber güvenlik kaynaklarına olan talebi önemli ölçüde artıracağını öngörüyor. ASCA çözümlerinin ortaya çıkışı, geliştiricilerin güvenli kod yazma yeteneklerini artırırken, kodun güvenliği konusunda anında geri bildirim sağlayarak operasyonel etkinliği arttırmayı hedeflemektedir.

Yapay zeka tabanlı güvenlik asistanlarına yatırım yaparak, geliştiricilerin güvenlik açıklarını daha etkin bir şekilde tespit etmelerini sağlamak yakın zamanda en önemli uygulama güvenliği yatırımları arasında yer alacaktır.

SSCS (Software Supply Chain Security)

Yazılım tedarik zinciri saldırıları giderek daha sofistike hale gelmektedir. Özellikle açık kaynak kodlar üzerinden saldırıların arttığı raporlanan güvenlik vakalarında gözlenmektedir. SSCS servisleri üçüncü taraf yazılımların güvenliğini değerlendirme ve yazılım eserlerinin bütünlüğünü sağlama süreçlerini içerir. Gartner, bu alanın dönüşümsel bir etkiye sahip olduğunu ve tüm kuruluşların bu alanda kapsamlı bir strateji geliştirmesi gerektiğini belirtmektedir. Sektörde bir çok büyük kurumunda ana gündem maddelerinden biri olarak bu konunun da öne çıktığı görülmektedir.

SSCS sürecinini önemli parçalarından biri olan SCA (Software Composition Analysis) çözümlerinin kendi potansiyeline ulaşması sebebiyle de Hype Cycle içerisinde yer almadığı not olarak belirtilmiştir.

Raporun tamamına linkten ve bir önceki inceleme yazıma linkten ulaşabilirsiniz.