Ежегодный отчет Veracode State of Software Security, основанный на анализе более 1,6 млн приложений, фиксирует тревожную тенденцию: уязвимости в программном обеспечении накапливаются быстрее, чем организации успевают их устранять. На фоне ускоренной разработки и широкого внедрения ИИ полноценная защита приложений становится все более сложной задачей.
«Долг безопасности»: когда уязвимости живут годами
Ключевое понятие отчета — «долг безопасности» (security debt). Под ним понимаются известные уязвимости, которые остаются неисправленными более 12 месяцев. Фактически это технический долг, но в плоскости кибербезопасности: накопленный объем рисков, который компании сознательно или вынужденно игнорируют.
По данным Veracode, 82% организаций уже имеют такой накопленный долг (годом ранее — 74%). Одновременно растет и качество этих уязвимостей: доля серьезных дефектов с высокой вероятностью эксплуатации увеличилась с 8,3% до 11,3%. Это означает, что в продуктивных системах все чаще остаются именно те уязвимости, которые потенциальный атакующий с наибольшей вероятностью сможет использовать.
Выводы сделаны на основе комбинации методов: статического и динамического анализа кода, анализа компонентов (SCA) и ручного penetration-тестирования. Такой подход позволяет увидеть не только ошибки в собственном коде, но и риски, привнесенные сторонними библиотеками и фреймворками.
Есть и позитив: меньше уязвимого open-source и снижение доли дефектов
Несмотря на рост «долга безопасности», в отчете отмечаются и позитивные изменения. Доля приложений с уязвимостями в open-source компонентах снизилась с 70% до 62%, а общая «распространенность дефектов» — с 80% до 78%.
Это может свидетельствовать о более ответственном подходе к управлению цепочкой поставок ПО: компании активнее обновляют библиотеки, используют инструменты Software Composition Analysis (SCA) и лучше отслеживают известные уязвимости в сторонних зависимостях. Дополнительным фактором выступает зрелость практик DevSecOps, когда проверки безопасности встраиваются непосредственно в конвейеры CI/CD.
Почему уязвимостей находят больше: качество тестирования против шума
Исследователи подчеркивают, что рост числа выявленных проблем частично объясняется широким внедрением инструментов тестирования безопасности. Организации стали чаще и глубже сканировать код, инфраструктуру и зависимости — находя дефекты, которые ранее оставались незамеченными.
Однако в отчете указывается важная оговорка: точный уровень false positive (ложноположительных срабатываний) неизвестен. Это значит, что часть «всплеска уязвимостей» может быть следствием шума от инструментов, а не реального ухудшения качества кода. На практике это приводит к перегрузке команд: разработчики и специалисты по безопасности тратят значительную часть времени на разбор нерелевантных инцидентов.
ИИ, ускоренная разработка и рост архитектурной сложности
Скорость релизов опережает скорость исправления
Veracode фиксирует еще один критический тренд: ускорение цикла разработки. Релизы выходят чаще, новый функционал поставляется быстрее, а объем вносимых изменений в кодовую базу постоянно растет. На этом фоне команды просто не успевают устранять накопленные уязвимости — особенно те, что признаны «некритичными» в момент их обнаружения.
В результате образуется «разрыв по скорости»: код пишется и внедряется быстрее, чем проводятся анализ, приоритизация и исправление рисков. Так формируется устойчивый backlog уязвимостей, который со временем превращается в системный «долг безопасности».
Искусственный интеллект как усилитель проблемы
Отдельный акцент в отчете сделан на росте объемов ИИ-генерируемого кода. Инструменты на базе искусственного интеллекта позволяют разработчикам писать больше кода за меньшее время, но одновременно повышают архитектурную сложность систем. Чем сложнее приложение, тем труднее анализировать и исправлять уязвимости — особенно в условиях ограниченных ресурсов команды.
Эксперты подчеркивают, что человеческий контроль над ИИ-инструментами критически необходим, однако на практике его часто недооценивают. Безопасность либо отходит на второй план ради скорости вывода продукта на рынок, либо фактически делегируется самому ИИ. При этом ИИ-системы нередко генерируют значительное количество ложноположительных срабатываний и неоднозначных рекомендаций, создавая дополнительные «информационные перегрузки» для ревьюеров.
Кризисный уровень отставания и необходимость системных изменений
В отчете Veracode формулируется жесткая оценка текущей ситуации: скорость разработки в эпоху ИИ делает комплексную безопасность недостижимой в рамках существующих подходов. Отставание в исправлении уязвимостей описывается как достигшее «кризисных масштабов», а постепенные, точечные улучшения — как недостаточные.
Хотя исследование не предлагает детализированной «дорожной карты», из данных отчета и отраслевой практики можно выделить несколько направлений, без которых сокращение «долга безопасности» вряд ли возможно:
Во-первых, необходим переход от реактивного подхода к risk-based модели: приоритизация уязвимостей по бизнес-рискам, эксплуатируемости и критичности затронутых систем, а не только по техническому severity.
Во-вторых, важно глубже интегрировать безопасность в жизненный цикл разработки: обязательный security review для ключевых фич, использование комбинации SAST/DAST/SCA, обучение разработчиков безопасному кодингу и внедрение четких SLA на исправление уязвимостей.
В-третьих, работу с ИИ-инструментами следует строить по принципу «human in the loop»: ИИ — как ускоритель и помощник, но не как автономный источник истинны. Рекомендации ИИ по безопасности должны проходить экспертную валидацию, а пороги срабатываний и политики — регулярно пересматриваться.
Для организаций, зависящих от сложных программных экосистем, отчет Veracode — это сигнал к пересмотру стратегии. Наращивать проверки и добавлять новые ИИ-инструменты недостаточно, если не меняются процессы, приоритизация и культура разработки. Чем раньше компании начнут системно управлять «долгом безопасности», тем ниже будет вероятность того, что накопленные уязвимости станут причиной инцидента с реальными финансовыми и репутационными потерями.
