Авторка: Kateryna Ivanenko, Invicti & Mend.io Brand Manager
В этой статье будет проанализирован отчет по рынку безопасности приложений за 2026 год, включающий результаты опросов и текущие тенденции в индустрии.
Следует отметить, что оригинальная публикация от Latio построена на основе данных преимущественно о компаниях из США, но в этой статье мы обсудим, какие выводы мы можем сделать и о других регионах: Украине, Молдове, Южном Кавказе и Центральной Азии.
Опрос команд безопасности
Топ 6 желаемых функций инструментов по безопасности приложений
- Удобство для разработчиков
- Низкое количество ложноположительных срабатываний
- Интеграции
- Максимальное покрытие в обнаружении уязвимостей
- Помощь в исправлении
- Отчетность
Казалось бы, в AppSec-инструментах самым главным критерием должно быть качество выявления проблем, но на первое место поставили удобство для разработчиков. В частности, на рынке это можно легко заметить в маркетинге продуктов статического тестирования безопасности приложений (SAST, white-box testing), почти каждый из них отмечает, что он является “developer-friendly”.
В принципе это имеет смысл с той точки зрения, что как раз разработчики исправляют уязвимости после их обнаружения. Поэтому чем удобнее безопасность встроена в их процессы (что включает интеграции, например с тикетными системами), и чем более подробная информация о проблеме (к примеру, популярным становится функционал предложения исправлений на основе ИИ), тем быстрее будет устранен недостаток. Если инструмент вызывает задержку в этом, то его ценность для поддержания высокого уровня безопасности приложений значительно уменьшается.
Самые распространенные инструменты по безопасности приложений
Выше приведены результаты опроса на основе респондентов из США, однако у нас очевидно картина другая.
Как показывает практика и аналитика, большинство компаний используют или ищут инструменты SAST или DAST. Именно “или”, а не “и”, ведь у нас все еще очень распространен миф, что эти сканеры взаимозаменяемы, что не соответствует действительности.
Рекомендуется их комбинировать (если это позволяет специфика деятельности компании), ведь благодаря SAST можно найти уязвимости на ранних этапах разработки и избежать задержки релизов из-за выявленных проблем с безопасностью, в свою очередь DAST способен находить специфические для состояния выполнения программы уязвимости, которые чисто технически не может увидеть сканер, анализирующий только исходный код.
Например, как инноватор и лидер, в отчете упоминается DAST-платформа Invicti, которая бесшовно интегрируется с решением Mend.io, которое в том числе предлагает SAST и SCA среди своих модулей. Таким образом можно централизовать все уязвимости в одной консоли.
Приоритеты по безопасности приложений
Конечно, на первом месте находятся риски кода, сгенерированного ИИ. Такие ассистенты широко используются по всему миру, поэтому для вышеперечисленных регионов это также актуально.
У нас в блоге есть статья относительно распространенных уязвимостей в коде, сгенерированном ИИ, прочесть ее можно здесь.
На втором месте в отчете стоят supply-chain атаки с вредоносным ПО. В вышеупомянутых странах, к сожалению, этому не уделяется достаточного внимания. Например, инструменты SCA могут находить вредоносные пакеты, что позволяет снизить эти риски.
Относительно получения бюджета в упомянутых регионах ситуация явно более критична, чем у респондентов из США, ведь из-за более низких законодательных требований по безопасности приложений и меньшей зрелости рынков, это направление может не получать достаточного внимания от менеджмента.
Тенденция перехода инструментов на рынке к платформам
С годами угрозы растут, и количество инструментов безопасности приложений только увеличивается. Если использовать хотя бы базовый набор SAST+DAST+SCA, то не очень удобно заходить каждый раз в отдельную консоль для запуска сканирования и управления результатами. Еще одной головной болью является сведение всей отчетности.
Вендоры по направлению безопасности приложений заметили это, и начали массово расширять свои портфолио в последние годы, чтобы объединить эти продукты в одну платформу для удобного пользования. Почти каждый игрок на рынке AppSec в вышеупомянутых регионах сейчас предлагает более одного класса решений.
Но многие команды по тем или иным причинам используют инструменты от разных вендоров, в таком случае проблема никуда не исчезает. Для этого придумали такой класс решений как Application Security Posture Management (ASPM), что можно перевести как управление состоянием безопасности приложений, примером является Invicti ASPM.
Эти продукты работают как оркестраторы: они интегрируют AppSec-сканеры для централизованного управления уязвимостями, запуска сканирования и консолидированной отчетности.
Хотя первоначальная идея заключается в интеграции различных инструментов, термин ASPM может быть несколько обманчивым. Некоторые вендоры позиционируют ASPM как единую консоль для исключительно собственных инструментов, искажающую восприятие этого класса решений.
Кроме интеграции коммерческих инструментов, часть продуктов предлагает использование open-source сканеров, “встроенных” в платформу. Это помогает закрыть пробелы в тех областях, на которые еще не выделен бюджет, поддерживая более высокий уровень безопасности, чем мог бы быть.
Некоторые даже берут эту стратегию за основу, выделяя бюджет в первую очередь на ASPM. Это может казаться контринтуитивным, но логика здесь такова: open-source сканеры не всегда очень “user-friendly”, что затрудняет пользование ими. И опять-таки возникает проблема большого количества разных консолей. Однако, если проводить запуск и анализ результатов в ASPM, а также настраивать там политики, которые недоступны в вышеупомянутых инструментах, удобство процессов стремительно повышается, позволяя найти баланс между выделенным бюджетом и покрытием безопасности.
Развитие DAST и безопасности API
Динамическое тестирование безопасности приложений (DAST, black-box testing) начиналось как сбор структуры сайта, отправка полезных нагрузок и анализ ответа.
Однако с распространением микросервисов и атак на них этот класс решений также начал покрывать тестирование API на основе предоставленных спецификаций. Наибольшей популярностью все еще пользуется всем известный RESTful API. Со временем даже появился функционал их обнаружения, развивший направление управления поверхностью атаки.
Не так давно появились возможности пентеста на основе ИИ, отметившегося как наиболее желаемая AI-функция в AppSec в опросе отчета. В упомянутых странах я часто вижу полярно разные мнения относительно ИИ: либо мысли об увеличении эффективности (преимущественно в частных компаниях), либо отстранение из-за опасений угроз, создаваемых ИИ.
Безопасность цепи поставки ПО
Supply-chain атаки становятся все более распространёнными в последние годы, что создает еще больше соответствующих предложений на вышеупомянутых рынках.
К примеру, инструменты SCA (Software Composition Analysis, анализ программных компонентов) формируют список библиотек, используемых в приложении, после чего проверяют их на уязвимости и риски лицензирования. Популярность таких инструментов постепенно растет, учитывая современные угрозы, однако остается заметно ниже, чем в США.
Одной из важных функций такого класса решений стал анализ досягаемости (reachability), проверяющий, действительно ли злоумышленник сможет эксплуатировать библиотеку (на основе информации о том, вызывается ли уязвимая функция).
Отдельной сложностью является ручное обновление зависимостей, для автоматизации чего существуют специальные инструменты, такие как Mend Renovate.
Защита AI-моделей в приложениях
Чат-боты на основе ИИ все чаще используются в приложениях, что создает новые для нас риски. Вышеупомянутые регионы пока не слишком сильно переживают из-за этого, хотя разговоры ведутся, но на рынке уже присутствуют решения для обеспечения защиты.
Это включает в себя выявление AI-компонентов в приложении, анализ безопасности поведения модели (так называемый red teaming), проверка внутренних инструкций (системных промптов) и конфигураций. Примером такого функционала Mend AI Premium.
Вывод: нам есть куда расти
По сравнению с США, рынок Украины, Молдовы, Южного Кавказа и Центральной Азии менее зрелым в вопросе безопасности приложений, несмотря на рост современных угроз.
Как было сказано выше, у нас разнятся законодательные требования. Кроме того, популярные AppSec-вендоры преимущественно сосредоточены в США, то есть там они строили осведомленность своего рынка о кибербезопасности гораздо раньше, чем дошли до вышеупомянутых регионов.
Однако полномасштабная война в Украине дала толчок в этом направлении из-за резкого увеличения кибератак, что подсветило уже существующую потребность.
Таким образом, у нас есть большое пространство для развития, к чему будут побуждать более строгие нормативные стандарты и современные угрозы.
Если вы хотите бесплатно протестировать Invicti (DAST, IAST), Invicti ASPM или Mend.io (SAST, SCA, безопасность контейнеров, обновление зависимостей и защиту ИИ-компонентов), оставьте ваши контактные данные ниже и наш менеджер к вам обратится.
