Авторка: Катерина Іваненко, Invicti & Mend.io Brand Manager
У цій статті буде проаналізовано звіт по ринку безпеки додатків за 2026 рік, що включатиме результати опитувань та поточні тенденції в індустрії.
Варто зазначити, що оригінальна публікація від Latio побудована на основі даних переважно про компанії з США, але в цій статті ми обговоримо, які висновки ми можемо зробити й про інші регіони: Україна, Молдова, Південний Кавказ і Центральна Азія.
Опитування команд безпеки
Топ 6 бажаних функцій інструментів з безпеки додатків
- Зручність для розробників
- Низька кількість хибнопозитивних спрацювань
- Інтеграції
- Максимальне покриття у виявленні вразливостей
- Допомога у виправленні
- Звітність
Здавалось би, в AppSec-інструментах найголовнішим критерієм мала б бути якість виявлення проблем, але на перше місце поставили зручність для розробників. Зокрема на ринку це можна легко помітити в маркетингу продуктів статичного тестування безпеки додатків (SAST, white-box testing), майже кожен з них наголошує, що він є “developer-friendly”.
В принципі, це має сенс з того погляду, що як раз розробники виправляють вразливості після їх виявлення. Тому чим зручніше безпека вбудована в їх процеси (що включає інтеграції, як-от з тікетними системами), і чим детальніша інформація про проблему (наприклад, популярним стає функціонал пропозиції виправлень на основі ШІ), тим швидше буде усунено недолік. Якщо інструмент викликає затримку в цьому, його цінність для підтримки високого рівня безпеки додатків значно зменшується.
Найпоширеніші інструменти з безпеки додатків
Вище наведено результати опитування на основі респондентів з США, проте в нас очевидно картина інша.
Як показує практика та аналітика, більшість компаній використовують чи шукають інструменти SAST або DAST. Саме “або”, а не “та”, адже у нас все ще дуже поширеним є міф, що ці сканери взаємозамінні, що не відповідає дійсності.
Рекомендовано їх комбінувати (якщо це дозволяє специфіка діяльності компанії), адже завдяки SAST можна знайти вразливості на ранніх етапах розробки та уникнути затримки релізів через пізніше виявлені проблеми з безпекою, своєю чергою DAST здатен знаходити специфічні для стану виконання програми вразливості, які чисто технічно не може побачити сканер, що аналізує лише вихідний код.
Наприклад, як інноватор і лідер, у звіті згадана DAST-платформа Invicti, що безшовно інтегрується з рішенням Mend.io, що в тому числі пропонує SAST і SCA серед своїх модулів. Таким чином можна централізувати всі вразливості в одній консолі.
Пріоритети з безпеки додатків
Звісно, що на першому місці знаходяться ризики коду, згенерованого ШІ. Такі асистенти широко використовуються по всьому світу, тому для вищезазначених регіонів це також актуально.
У нас в блозі є стаття щодо поширених вразливостей у коді, згенерованому ШІ, прочитати її можна тут.
На другому місці у звіті стоять supply-chain атаки зі шкідливим ПЗ. У вищезазначених країнах, на жаль, цьому не надається достатньої уваги. Наприклад, інструменти SCA можуть знаходити шкідливі пакети, що дозволяє знизити ці ризики.
Щодо отримання бюджету у згаданих регіонах ситуація явно більш критична, ніж у респондентів з США, адже через нижчі законодавчі вимоги щодо безпеки додатків та меншу зрілість ринків, цей напрямок може не отримувати достатньої уваги від менеджменту.
Тенденція переходу інструментів на ринку до платформ
З роками загрози зростають, і кількість інструментів для безпеки додатків лише збільшується. Якщо використовувати хоча б базовий набір SAST + DAST + SCA, то не дуже зручно заходити кожен раз в окрему консоль для запуску сканувань та управління результатами. Ще одним головним болем є зведення всієї звітності.
Вендори в напрямку безпеки додатків помітили це, і почали масово розширювати свої портфоліо в останні роки, щоб далі об’єднати ці свої продукти в одну платформу для зручного користування. Майже кожен гравець на ринку AppSec у вищезгаданих регіонах зараз пропонує більше, ніж один клас рішень.
Але багато команд з тих чи інших причин використовує інструменти від різних вендорів, у такому разі проблема нікуди не зникає. Для цього придумали такий клас рішень як Application Security Posture Management (ASPM), що можна перекласти як управління станом безпеки додатків, прикладом є Invicti ASPM.
Ці продукти працюють як оркестратори: вони інтегрують AppSec-сканери для централізованого управління вразливостями, запуску сканувань і консолідованої звітності.
Хоча початкова ідея полягає в інтеграції різних інструментів, термін ASPM може бути дещо оманливим. Деякі вендори позиціонують ASPM як єдину консоль для виключно власних інструментів, що викривлює сприйняття цього класу рішень.
Окрім інтеграції комерційних інструментів, частина продуктів пропонує використання відомих open-source сканерів, “вбудованих” у платформу. Це допомагає закрити прогалини в тих областях, на які ще не виділено бюджет, підтримуючи вищий рівень безпеки, ніж міг би бути.
Деякі навіть беруть цю стратегію за основу, виділяючи бюджет в першу чергу на ASPM. Це може здаватися контрінтуїтивно, але логіка тут така: open-source сканери не завжди є дуже “user-friendly”, що ускладнює користування ними. І знову-таки, виникає проблема великої кількості різних консолей. Проте, якщо проводити запуск і аналіз результатів в ASPM, а також налаштовувати там політики, які недоступні у вищезгаданих інструментах – зручність процесів стрімко підвищується, дозволяючи знайти баланс між виділеним бюджетом і покриттям безпеки.
Розвиток DAST і безпеки API
Динамічне тестування безпеки додатків (DAST, black-box testing) починалося як збір структури сайту, надсилання корисних навантажень і аналіз відповіді.
Проте з поширенням мікросервісів і атак на них, цей клас рішень також почав покривати тестування API на основі наданих специфікацій. Найбільшою популярністю все ще користується всім знайомий RESTful API. З часом навіть з’явився функціонал їх виявлення, що розвинуло напрямок управління поверхнею атаки.
Не так давно з’явилися можливості пентесту на основі ШІ, що відзначився як найбільш бажана AI-функція в AppSec в опитуванні звіту. У згаданих країнах я часто бачу полярно різні думки щодо ШІ: або вбачання збільшення ефективності (переважно в приватних компаніях), або відсторонення через побоювання загроз, що створює ШІ.
Безпека ланцюга постачання ПЗ
Supply-chain атаки стають все більш поширеними в останні роки, що створює ще більше відповідних пропозицій на вищезгаданих ринках.
Наприклад, інструменти SCA (Software Composition Analysis, аналіз програмних компонентів) формують список бібліотек, що використовуються в додатку, після чого перевіряють їх на вразливості та ризики ліцензування. Популярність таких інструментів поступово зростає з огляду на сучасні загрози, проте залишається помітно нижчою, ніж у США.
Однією з важливих функцій такого класу рішень став аналіз досяжності (reachability), що перевіряє, чи дійсно зловмисник зможе експлуатувати бібліотеку (на основі інформації про те, чи викликається вразлива функція).
Окремою складністю є ручне оновлення залежностей, для автоматизації чого існують спеціальні інструменти, як-от Mend Renovate.
Захист AI-моделей в додатках
Чатботи на основі ШІ все частіше використовуються в додатках, що створює нові для нас ризики. Вищезгадані регіони поки що не надто сильно переймаються через це, хоча розмови ведуться, але на ринку вже присутні рішення для забезпечення захисту.
Це включає виявлення AI-компонентів в додатку, аналіз безпеки поведінки моделі (так званий red teaming), перевірка внутрішніх інструкцій (системних промптів) та конфігурацій. Прикладом такого функціоналу є Mend AI Premium.
Висновок: нам є куди рости
Порівняно з США, ринок України, Молдови, Південного Кавказу і Центральної Азії є менш зрілим у питанні безпеки додатків, не дивлячись на зростання сучасних загроз.
Як було сказано вище, у нас різняться законодавчі вимоги. Крім того, популярні AppSec-вендори переважно зосереджені в США, тобто там вони будували обізнаність свого ринку щодо кібербезпеки набагато раніше, ніж дійшли до вищезазначених регіонів.
Проте повномасштабна війна в Україні дала поштовх у цьому напрямку через різке збільшення кібератак, що підсвітило вже наявну потребу.
Таким чином, у нас є великий простір для розвитку, до чого будуть спонукати більш суворі нормативні стандарти та сучасні загрози.
Якщо ви хочете безкоштовно протестувати Invicti (DAST, IAST), Invicti ASPM або Mend.io (SAST, SCA, безпека контейнерів, оновлення залежностей і захист ШІ-компонентів), то залиште ваші контактні дані нижче і наш менеджер до вас звернеться.
