Pynt: компании не видят обещанных результатов от внедрения сдвига влево несмотря на массовое применение подхода

Компания Pynt представила исследование, посвящённое состоянию безопасности приложений на фоне популяризации подхода shift left, предполагающего раннюю диагностику уязвимостей ещё в процессе написания кода.

Хоть почти половина опрошенных организаций заявила о переходе к более раннему этапу обнаружения уязвимостей, в реальности стратегия часто буксует. Многие внедрили инструменты, но не смогли наладить процессы: шум в отчётах, перегрузка разработчиков и слабая интеграция мешают достичь ощутимого результата.

Механизмы, призванные сократить число проблем после релиза, по сути превратились в дополнительную нагрузку. Руководители компаний отмечают, что ИИ ускорил разработку настолько, что службы безопасности вынуждены догонять, теряя при этом в эффективности. Без синхронизации и чёткого распределения задач даже самые продвинутые инструменты не приносят ожидаемой пользы.

Из всех, кто уже применяет подход shift left, подавляющее большинство внедрили соответствующие решения. Статический анализ кода оказался самым распространённым методом: его использует 36% респондентов. Немногим уступает проверка состава библиотек — 31%, а динамическое тестирование задействовано у 29% участников опроса.

Проблемы начинаются на практике. Более трети специалистов сталкиваются с ложными срабатываниями, из-за которых приходится тратить ресурсы впустую. Почти треть команд жалуется на сложность встраивания новых решений в существующий процесс, а четверть разработчиков говорит о перегрузке от числа уязвимостей, которые необходимо обработать.

При этом половина тех, кто не перешёл на стратегию shift left, не собирается этого делать вовсе. Возможно, причины — не в недоверии к концепции, а в понимании рисков, которые она несёт при неподготовленном внедрении.