Контакти Новини Акції Укр Рус
Контакт: +380503703627 info@itpro.ua
+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Checkmarx Future of Application Security: AI-Generated Code багаторазово збільшує поверхню атаки

Checkmarx Future of Application Security: AI-Generated Code багаторазово збільшує поверхню атаки

Щорічний звіт Checkmarx "Майбутнє безпеки додатків" показує, що поінформованість про безпеку знаходиться на рекордно високому рівні, а реалізація заходів безпеки залишає бажати кращого, і штучний інтелект посилює цей розрив.

Практично всі розробники пишуть код з використанням ІІ, але менше одного з п'яти забезпечують його безпеку в процесі розробки, посилаючись на обмежене використання вбудованих в IDE інструментів безпеки програм та труднощі з інтеграцією безпеки в існуючі конвеєри CI/CD. Керівники служб інформаційної безпеки стикаються з тими самими вимогами з боку вищого керівництва: 95% зазнають тиску, який змушує їх придушувати або відкладати питання безпеки, пов'язані з дотриманням нормативних вимог, коли на кону стоять терміни виконання бізнес-завдань. Такими є деякі з висновків звіту Checkmarx, лідера в галузі безпеки додатків з використанням агентів, «Майбутнє безпеки додатків 2026». Звіт, опублікований сьогодні, ґрунтується на відповідях 2350 керівників служб інформаційної безпеки, менеджерів з безпеки додатків та розробників з організацій у 14 країнах.

Хоча 96% розробників визнали наявність інструментів ІІ у своїх IDE та майже одностайно оцінили їхню ефективність, лише 18% заявили, що постійно застосовують заходи безпеки в процесі написання коду. Дані наголошують на тривожному факті: компанії, у яких 81-100% коду створюється за допомогою ІІ, майже втричі частіше випускають програмне забезпечення з відомими вразливістю безпеки, ніж компанії, у яких 1-20% коду створюється за допомогою ІІ (47% проти 14%). Глибока проблема зачіпає всі рівні використання: 75% організацій свідомо розгортають вразливий код на якомусь етапі, керуючись термінами, складністю та надією на те, що недоліки не будуть виявлені.

Надія більше не є безпековою стратегією.

Нові передові моделі ІІ одночасно виявляють нові вразливості та скорочують час, необхідний їх експлуатації. У звіті «Майбутнє безпеки додатків 2026» висвітлюються найкращі практики провідних організацій, які впроваджують гібридну безпеку на кожному рівні, поєднуючи детерміновану істину з міркуваннями, доповненими ІІ; приділяють пріоритетну увагу формальним політикам управління ІІ; і використовують автоматизацію, щоб перетворити ручні процеси усунення вразливостей на надійний захист. Дані показують зростаючий розрив між організаціями, що розвиваються разом із погрозами, і тими, хто все ще сподівається, що новітні моделі ІІ не виявлять уразливостей.

Основні висновки дослідження включають:

  • Краще запобігти проблемі, ніж потім її вирішувати. Більше 80% розробників не застосовують AppSec постійно при написанні коду, натомість виявляючи проблеми на певних етапах після того, як код вже існує, або, що ще гірше, реагуючи на інциденти вже після їх виникнення. Недоліки, виявлені на пізніх стадіях, можна використовувати зловмисниками.
  • Організації визнають ризик, пов'язаний із ІІ, але дії відстають. За рік кількість вразливого коду, що свідомо розповсюджується, скоротилася з 81% до 75%, у той час як формальні політики управління ІІ в компаніях зросли з 18% до 22%. Оскільки вікна для експлуатації вразливостей скорочуються з років до хвилин, змін просто недостатньо.
  • Ілюзія зрілості є реальною. 93% організацій визнали нещодавнє порушення безпеки, пов'язане з їхніми власними додатками, тоді як 73% описують свій рівень безпеки як «розвинений» або «дуже зрілий». Існує тривожна невідповідність між впевненістю у безпеці та реальністю у цій галузі.
  • Управління? Яке керування? 78% організацій, у яких відсутні формальні політики управління ІІ, залишають відчинені двері для поширення тіньових інструментів ІІ та для експлуатації неконтрольованого коду, який вони непомітно створюють.

«Цей звіт вказує на величезний розрив між кризою безпеки, з якою стикаються організації, та поступовими кроками, які вони роблять для її вирішення. Потрібна абсолютно нова модель», - сказав Сандіп Джохрі, генеральний директор Checkmarx. «Подібно до того, як студент не може сам оцінити свій іспит, штучний інтелект сам по собі не може забезпечити безпеку коду — і, як показують дослідження, він додає ризики. Організаціям необхідна безпека, яка поєднує в собі детерміновану точність з імовірнісним мисленням для виявлення нових вразливих шаблонів, одночасно скорочуючи розрив між виявленням уразливості та її усунення за допомогою більш ефективного втручання людини».

Результати цього звіту будуть представлені на віртуальному саміті Agentic AppSec Unleashed 2026 , організованому компанією Checkmarx 16 червня 2026 року. Керівники та інженери в галузі безпеки з провідних підприємств приєднаються до керівників Checkmarx і лідерів галузі, щоб обговорити загальні проблеми, що ростуть, і визначити рішення, здатні надати суттєвий вплив.

"Ми ведемо боротьбу на двох фронтах: передові моделі прискорюють виявлення вразливостей у застарілому та відкритому вихідному коді, а код, згенерований ІІ, розширює поверхню атаки в кожному конвеєрі обробки даних", - сказав Джонатан Ренде, директор з продуктів Checkmarx. «Те, що колись вважалося ризиком керованим, тепер виглядає як капітуляція. Організаціям необхідно терміново приділити пріоритетну увагу трьом речам: перетворення необроблених даних у дієві сигнали, впровадження заходів щодо усунення вразливостей у кожний робочий процес та підтримання прозорості у всіх аспектах ланцюжка постачання програмного забезпечення».

Звіт «Майбутнє безпеки додатків 2026» був підготовлений компанією Censuswide на замовлення Checkmarx у період з 10 по 30 березня 2026 року на основі опитування 2350 керівників служб інформаційної безпеки, менеджерів з безпеки додатків та розробників у 14 країнах. Усі відповіді були конфіденційними. Censuswide є членом Товариства маркетингових досліджень та Британської ради з опитувань громадської думки та дотримується Кодексу поведінки MRS та принципів ESOMAR.

Про компанію Checkmarx
Checkmarx - лідер в галузі агентної безпеки додатків, що забезпечує захист корпоративного рівня, одночасно знижуючи витрати на розробку та прискорюючи темпи розробки. Платформа Checkmarx One щорічно сканує трильйони рядків коду для компаній, скорочуючи щільність вразливостей більш ніж удвічі. Її автономні агенти безпеки виявляють та протидіють загрозам, створюваним штучним інтелектом, на всіх етапах життєвого циклу розробки програмного забезпечення, забезпечуючи захист від застарілого, сучасного та згенерованого ІІ коду в масштабах підприємства.

Інші новини

Найкраща ціна
VRScans
Chaos Group
VRScans
4 514.00 грн
VRScans
Chaos Group
VRScans
5 016.00 грн
VRScans
Chaos Group
VRScans
9 576.00 грн