Laporan '2024 Global State of DevSecOps' Black Duck meneliti perspektif tim keamanan, pengembang, profesional DevOps, dan eksekutif di bidang efisiensi DevSecOps, kualitas pengujian keamanan, dan kemunculan pesat pengembangan yang dibantu AI. Tahun ini, meskipun ada momentum yang berkelanjutan dalam konsolidasi alat AppSec, 48% organisasi yang signifikan terus menggunakan antara sebelas dan dua puluh alat pengujian keamanan.
Sementara mekanisme otomatis untuk menambahkan aplikasi ke antrean pengujian semakin populer (38% responden mengklaim semua proyek ditambahkan secara otomatis), konstituen yang sangat besar (29%) mengklaim semua proyek ditambahkan secara manual.
Pada tahun-tahun sebelumnya, fakta ini hanya akan berimplikasi pada efisiensi alur kerja di tengah pergeseran ke DevSecOps. Namun pada tahun 2024, kode yang dihasilkan AI dan pengembangan yang dibantu AI memperlebar kesenjangan antara tim keamanan dan pengembangan. Sekarang, alur pengembangan perangkat lunak mengalir lebih cepat daripada alur pengujian keamanan, dan ada sesuatu yang akan meledak.
Lebih dari 90% responden menggunakan alat AI dalam beberapa kapasitas untuk pengembangan perangkat lunak. Karena alat AI dapat menghasilkan kode yang tidak aman atau mereferensikan pustaka pihak ketiga yang rentan, metrik ini mungkin merupakan indikasi meningkatnya permukaan serangan; yang dikaburkan oleh kurangnya wawasan pengembang tentang struktur dan alasan kode yang dihasilkan AI.
Interpretasi optimistis dari penelitian Black Duck dapat mengungkapkan bahwa 43% responden hanya mengizinkan pengembang atau tim tertentu untuk menggunakan alat AI untuk menulis kode, mungkin mewakili adopsi metodis dan bertahap saat tim AppSec mempersiapkan gerbang keamanan mereka sesuai dengan itu. Namun data tahun ini menyinggung pepatah "lebih baik meminta maaf daripada memohon izin", dengan 21% responden mengakui penggunaan alat AI oleh pengembang meskipun ada embargo organisasi pada alat tersebut.
Memeriksa pengembangan yang dibantu AI melalui lensa keamanan, 85% responden membuktikan bahwa mereka memiliki beberapa langkah untuk mengatasi tantangan yang ditimbulkan oleh kode yang dihasilkan AI. Meskipun menggembirakan, ketika ditanya tentang kepercayaan mereka dalam kesiapan mereka, kurang dari seperempat (24%) sangat yakin dengan kebijakan dan proses mereka untuk menguji kode tersebut. Selain itu, 20% hanya sedikit percaya diri, dan 6% sama sekali tidak percaya diri, dalam kesiapan mereka untuk mengelola dan mengamankan kode yang dihasilkan AI.
Wawasan yang paling memprihatinkan berasal dari mereka yang mengizinkan semua pengembang untuk menggunakan alat AI sambil mengklaim sedikit kepercayaan (18%) atau tidak percaya (4%) pada kemampuan mereka untuk mengamankan kode yang dihasilkan AI. Kelompok ini, berjumlah 6% dari semua responden, tampaknya memprioritaskan kecepatan pengembangan daripada keamanan aplikasi. Perincian data ini yang lebih dalam, membandingkan izin responden dan penggunaan alat pengembangan yang dibantu AI dengan langkah-langkah keamanan kepercayaan mereka, tersedia dalam laporan lengkap.
Saat organisasi melanjutkan untuk memahat program DevSecOps mereka dengan mempertimbangkan pengembangan yang dibantu AI, penting untuk menekankan cakupan pengujian dan kemampuan tindakan hasil. Lagi pula, jadwal pengembangan yang lebih cepat dan dorongan kode yang lebih sering berarti tugas memperbaiki masalah yang terdeteksi juga harus disingkat tanpa mengorbankan kemanjuran.
Responden tahun ini mengilustrasikan bahwa metrik efisiensi pengujian yang sering digunakan mungkin bersifat dangkal, secara artifisial didukung dengan mengurangi beban kerja pengujian. 5% responden yang mengecewakan hanya mengklaim hingga 20% dari proyek dan repositori mereka dimasukkan dalam antrean pengujian mereka.
Selain itu, 65% responden menyertakan hingga 60% artefak ini dalam antrian pengujian mereka, sementara hanya 9% yang dapat mengklaim cakupan hingga 100%. Saat AI mempercepat pengembangan, jelas bahwa tim AppSec memiliki ruang untuk meningkatkan, memperluas peningkatan fokus mereka pada otomatisasi pengujian di setiap alur, repo, dan proyek.
Meskipun sangat condong ke arah cakupan pengujian keamanan yang lebih rendah, 20% responden menemukan hasil pengujian tersebut sangat mudah dipahami dan ditindaklanjuti, memperkuat kepercayaan pada kemampuan organisasi tersebut untuk mengamankan kode yang dihasilkan AI dengan kecepatan yang sepadan dengan pengembangan. Faktanya, 72% merasa setidaknya agak mudah dipahami dan bertindak berdasarkan hasil uji keamanan.
Tindakan, betapapun mudahnya, tidak dapat efektif jika didasarkan pada data palsu. Ini adalah faktor "kebisingan", statis dalam sistem, dan kepalsuan, duplikasi, dan konflik yang mengganggu dalam potensi ribuan risiko keamanan yang ditandai oleh pengujian AppSec.
Semua hal dipertimbangkan, laporan Global State of DevSecOps Black Duck untuk tahun 2024 menggambarkan bahwa pluralitas organisasi telah meletakkan dasar DevSecOps dan sekarang harus menyempurnakan inisiatif mereka untuk memperluas cakupan dan mengurangi gangguan bagi semua yang terlibat.
Saat kode yang dihasilkan AI membanjiri alur, otomatisasi dan loop umpan balik tertutup antara tim keamanan dan pengembangan adalah kunci untuk membangun perangkat lunak yang aman dan berkualitas tinggi dengan lebih cepat dan mempercepat keamanan agar sesuai dengan kecepatan AI.
(Steven Zimmerman, manajer solusi senior, Black Duck)
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
