Bu yazımızda Gartner tarafından yayınlanan Hype Cycle for Application Security, 2024 raporunu analiz edeceğiz. Yeni teknolojilerin planlanması ve devreye alınması konusunda Hype Cycle raporları önemli bir referans kaynağıdır. Öncelikle raporun tamamına aşağıdaki linkten erişebilirsiniz:
https://www.gartner.com/doc/reprints?id=1-2HIZEWJD&ct=240509&st=sb
Yapılan tahminlere göre 2025 yılından itibaren GenAI, siber güvenlik bütçelerinde %15’ten fazla artışlara sebep olacak. Bunun temel sebebi AI uygulamalarının da ayrıca bir saldırı yüzeyi ortaya çıkaracak olması. Generative AI’ın kısaltması olan GenAI ile ilgili detaylı bilgiye aşağıdaki linkten erişebilirsiniz:
https://en.wikipedia.org/wiki/Generative_artificial_intelligence
Aynı şekilde, 2026 itibarıyla yazılım geliştirme departmanlarının en az %40’ının kod güvenliği için AI tabanlı otomatik iyileştirme teknolojisini kullanması öngörülüyor. Mevcut durumda bu süreç, yazılımcıların gerekli iyileştirmeleri manuel işlemlerle yapması şeklinde ilerliyor.
Bu önemli bilgilerden sonra Hype Cycle’a göz atalım. Bu görsel raporun temeli ve bir özetidir.
Hype Cycle raporunu okumak için öncelikle çizgilerin ne anlama geldiğini anlamlandırabilmek önemli. Bu konuda detaylı açıklama Wikipedia’da bulunmaktadır.
https://en.wikipedia.org/wiki/Gartner_hype_cycle
Cycle’ın 5 aşaması bulunmaktadır. Her ne kadar bazı kavramları Türkçe’leştirdiğimizde tam olarak karşılığı olmasa da Türkçe’sini de yazmaya çalışacağız.
- Teknolojinin Ortaya Çıkması (Technology Trigger veya Innovation Trigger):
- Teknolojiye İlişkin Aşırı Beklentinin Zirvesi (Peak of Inflated Expectations):
- Teknoloji ile Beklentilerin Örtüşmemesi (Trough of Disillusionment):
- Bilinçlenme Eğimi (Slope of Enlightenment):
- Verimlilik Platosu (Plateau of Productivity):
Genel Hype Cycle görselini özetlemek gerekirse, yeni bir teknoloji çıktığında beklentiler çok yüksek olur ancak belli bir süre sonra teknolojinin beklentileri karşılamadığı anlaşılır. Bu süreçte teknoloji olgunlaşmaya devam eder ve beklentiler makul bir seviyeye gelir. Böylece teknoloji belirli bir süre sonunda asıl faydasını göstermeye başladığı platoya erişir. Beklentilerle teknolojik faydalar tam olarak örtüşür.
Rapora tekrar dönecek olursak, Cycle’ın en başında olan 5 teknoloji ve platoya erişme tahmin aralıkları şu şekilde:
- Policy as Code 2-5 yıl
- Composable Security APIs 5-10 yıl
- Crypto-Agility 5-10 yıl
- AI Security Code Assistants 2-5 yıl
- AI Security and Anomaly Detection 5-10 yıl
İlk 5 teknoloji içinde özellikle AI tabanlı teknolojiler dikkat çekiyor. Özellikle AI tabanlı güvenli kod geliştirma yardımcı araçlarının 2-5 yıl arasında yazılım geliştirme döngüsünde yer edinmesi bekleniyor. Bu gelişme klasik AST araçlarının önemini ise azaltmayacaktır. Teknolojinin, AST araçlarına yardımcı bir bileşen olması öngörülüyor.
Penetration Testing as a Service ise tepe noktaya ulaşmış durumda. 2-5 yıl içinde olgunlaşması bekleniyor. Beklentileri karşılamamasının sebebi ise üretici seçiminde yaşanan zorluklar, üreticilerin sadece internete bakan web ve mobil uygulamaları kapsama alması, kompleks yapılarda istenen sonuçların alınamaması, test kapsamlarının müşteri tarafından esnetilememesi vb gibi konular.
Olgunlaşma evresinde ve henüz platoya erişememiş olan tanıdık teknolojiler var: Kubernetes Security, Software Bill of Materials, Software Supply Chain Security, Application Security Posture Management, API Threat Protection gibi. Bu teknolojiler gelişmeye devam etmekte ve yeni üreticiler ortaya çıkmaktadır.
Platoda ilerlemiş olan ve artık sıklıkla karşımıza çıkan teknolojiler ise şu şekilde:
- DevSecOps
- Full Life Cycle API Management
- Bot Management
Bu teknolojilerin 1-2 yıl içinde tam olarak olgunlaşması bekleniyor.
Mobile Application Security Testing, Secure Coding Training ve Application Shielding ise bu teknolojileri takip ediyor ve 2-5 yıl içinde platoya erişmesi öngörülüyor. Bunlar içinde özellikle Shift Left’in en solunda kalan teknolojilerden biri olan Secure Code Training’in önemine tekrar dikkat çekelim. Eğer yoksa bütün firmaların kısa vade planına alması gereken bir konu. Daha önceki raporlarda yer alan Software Composition Analysis (SCA) ise tam olgunluğa eriştiği için Hype Cycle’dan çıkarılmış durumda.
Son olarak Priority Matrix’i ekleyelim. İlgili matrise ve detaylara rapordan erişebilirsiniz.
Özellikle Transformational ve High seviyede olan ve 5 yıl içinde tam olarak verim alınması beklenen teknolojilere odaklanılabilir.