Bare 54 prosent av større endringer i koden i ulike applikasjoner blir fulgt opp med en fullstendig sikkerhetsgjennomgang. Det er ett av funnene i rapporten «2024 State of Application Security Report».
– Hvis mannskapet på din neste flygning valgte å droppe sikkerhetssjekken, fordi de hadde oppnådd kvota for dagen - ville du følt deg trygg? Sannsynligvis ikke. Slik er det også med kode, står det i rapporten.
Den er basert på svar fra 400 ansatte innen IT-sikkerhet i USA, og skal gi en pekepinn på status innen applikasjonssikkerhet. Så ta det med en klype salt, skriver The Register.
Undersøkelsen er laget av Crowdstrike, som sist fredag ble et symbol for hva som kan skje når en oppdatering går galt.
'Rutinemessig oppgradering' endte med at CMS-et til store, norske nettaviser gikk ned i over to timer
Vanskelig å prioritere
Sikkerhetsansatte er tydelige på hva de mener er den største utfordringen de har i møte med utviklere. Det er vanskelig å prioritere hvilke problemer som haster aller mest, og som må løses først.
22 prosent svarte at prioritering var det vanskeligste hinderet for dem å løse. 61 prosent oppga det som en av deres tre største utfordringer.
Det problematiseres også at flere og mer sammensatte prosjekter gjør sikkerhetsjobben mer krevende. De trenger flere verktøy, men også stadig flere programmeringsspråk, ifølge Crowdstrike.
– Med flere prosjekter, så øker antallet utviklerteam og frekvensen på deployments. Det samme gjør også antallet programmeringsspråk innad i virksomheten, skriver de i rapporten.
Utviklere bruker mest tid på helt andre ting
Krevende jobb
Det tar lang tid. Det koster mye. Det krever mange ansatte. Alle tre blir nevnt som del av et bakteppe som gjør at større gjennomganger blir valgt bort.
Til tross for at 71 prosent av respondentene svarer at de oppdaterer applikasjoner minst en gang i uka, så er det fortsatt lite automatisering av dokumentasjonsprosessene. Dette gjør at det er vanskelig for teamene å ha oppdatert og presis informasjon, svarer de.
I forlengelsen av dette konkluderer Crowdstrike med at virksomheter sliter med å holde tritt med sårbarheter og sikkerhetsproblemer som påstår i kjølvannet av lanseringene.
– Applikasjoner og APIer er ikke sikre nok. Virksomheter må tenke nytt rundt sin tilnærming til sikkerhet. Det å basere seg på manuelle prosesser gjør sikkerhetsarbeidet dyrere og mer saktegående, konkluderer Crowdstrike.
Og når først feil inntreffer, oppgir de fleste at det tar tid å rette. Bare 30 prosent oppgir at de kan løse kritiske sikkerhetsproblemer i løpet av 12 timer eller mindre. Men enn 15 prosent oppga en mediantid på mer enn sju dager for å løse en kritisk feil.