Sebuah ironi besar kembali mencuat dalam dunia keamanan aplikasi. Di tengah semakin canggihnya alat deteksi kerentanan, laporan terbaru dari OX Security menunjukkan bahwa sebagian besar peringatan keamanan justru tidak membantu, bahkan merugikan organisasi.

Menurut OX Security Application Security Benchmark Report 2025, antara 95–98% dari notifikasi AppSec tidak memerlukan tindakan. Dari 101 juta temuan keamanan yang dikumpulkan di 178 organisasi, hanya sekitar 202 peringatan dari rata-rata 570 ribu alert per organisasi yang benar-benar bersifat kritis.

Fenomena ini menciptakan kondisi kelelahan alert (alert fatigue) pada tim keamanan siber. Upaya yang berlebihan untuk merespons notifikasi yang tidak berdampak justru menguras sumber daya, memperlambat kecepatan pengembangan, dan memicu ketegangan antara tim keamanan dan pengembang.

“Kita berpura-pura menjadi enabler bisnis, padahal sebenarnya membebani rekan kerja kita, menunda pengembangan, dan menghambat pencapaian hasil bisnis.” Ungkap Chris Hughes dari Resilient Cyber

Dibandingkan tahun 2015 yang hanya mencatat 6.494 CVE, pada 2025 jumlah tersebut melonjak drastis dengan lebih dari 40.000 CVE baru diterbitkan dalam setahun, menjadikan total global melampaui 200.000 kerentanan.

Baca Juga: Peneliti Temukan Backdoor Berbasis Golang yang Gunakan Telegram sebagai Jalur Kontrol

Namun, banyak alat AppSec tidak berkembang sesuai zaman. Alih-alih menyaring berdasarkan konteks, alat tersebut justru memperbanyak deteksi tanpa memberikan kejelasan nilai risiko.

OX mencatat bahwa:

• 32% peringatan memiliki kemungkinan eksploitasi rendah.
• 25% tidak memiliki exploit publik yang diketahui.
• 25% berasal dari dependensi yang tidak digunakan atau hanya untuk pengembangan.

Untuk keluar dari lingkaran setan ini, OX Security menyerukan pergeseran paradigma: dari sekadar deteksi ke prioritasi berbasis bukti (evidence-based prioritization). Model baru ini memperhitungkan:

• Reachability: Apakah kode yang rentan benar-benar digunakan dan dapat dijangkau?
• Exploitability: Apakah kondisi eksploitasi tersedia di lingkungan tersebut?
• Dampak Bisnis: Seberapa besar kerusakan yang ditimbulkan jika terjadi pelanggaran?
• Cloud-to-Code Mapping: Dari mana kerentanan ini berasal dalam siklus SDLC?

Melalui pendekatan ini, jumlah peringatan bisa dikurangi dari rata-rata 569.354 menjadi hanya 11.836, dan hanya 202 yang memerlukan respons langsung.

Temuan menarik lainnya:

• Tingkat “noise” alert relatif stabil di seluruh industri.
• Lingkungan perusahaan lebih kompleks karena banyaknya alat dan aplikasi yang digunakan.
• Sektor keuangan menerima volume alert tertinggi karena posisi mereka yang strategis bagi para pelaku kejahatan siber yang termotivasi oleh keuntungan finansial.

Laporan ini menyimpulkan bahwa pendekatan deteksi massal tidak lagi relevan. Sebagai gantinya, organisasi perlu menyempurnakan sistem keamanan mereka dengan fokus hanya pada kerentanan yang benar-benar berisiko.

Dengan diperkirakan lebih dari 50.000 CVE baru di tahun 2025, strategi keamanan yang cerdas bukan hanya pilihan—tetapi kebutuhan mutlak.