La encuesta de GitLab muestra que DevOps se está convirtiendo en una realidad, mientras que DevSecOps todavía tiene trabajo por hacer
Comentario: los desarrolladores finalmente están asumiendo funciones más operativas, pero su participación en la seguridad aún es insuficiente.
Seguimos hablando de DevOps, pero finalmente se está convirtiendo en una realidad. Es decir, si se cree en las casi 3700 personas que completaron la reciente encuesta DevSecOps 2023 de GitLab. De estos encuestados, el 41 por ciento eran desarrolladores, muchos de los cuales dijeron que definen y/o crean la infraestructura en la que se ejecutan sus aplicaciones. ¡éxito!
Quizás lo hará. Es bueno que los desarrolladores asuman una mayor responsabilidad operativa, pero puede haber fallas importantes en el espacio de seguridad.
Muchos temas de DevOps
Cobertura de lectura obligada para desarrolladores
Pero primero, las buenas noticias: los desarrolladores finalmente están teniendo su día de DevOps. El treinta y cinco por ciento de los desarrolladores encuestados dijeron que definen y/o crean la infraestructura en la que se ejecutan sus aplicaciones. Un 14 por ciento más pequeño pero importante va un paso más allá, monitoreando y respondiendo a esa infraestructura. Además, alrededor del 18 por ciento usa su código para monitorear la producción y el 12 por ciento sirve como un punto de escalamiento en caso de un incidente.
DevOps FTW, ¿verdad?
Mirar: Cómo desarrollar una carrera exitosa como ingeniero de DevOps (PDF gratuito) (República tecnológica)
Especie de. Según los desarrolladores, solo el 35 % de ellos tiene un conocimiento profundo de DevOps. Mientras tanto, si le pregunta a la población en general… el 73 % dice que ha estado haciendo DevOps durante al menos un año (el 35 % ha estado haciendo DevOps durante uno a tres años, y el 20 % dice que ha estado haciendo DevOps más de cinco años). Gran parte de DevOps se realiza sin desarrolladores.
Atribuyámoslo a una prosperidad ambiciosa. Sin embargo, es menos fácil pasar por alto cómo esta mayor participación de los desarrolladores en las operaciones se traduce en seguridad.
¿Quién es responsable?
En el lado positivo, más del 25 por ciento de los desarrolladores encuestados dijeron que eran los únicos responsables de la seguridad dentro de su organización. (Por el contrario, los profesionales de operaciones dijeron que eran responsables solo del 21 % del tiempo). Esto debería ser un paso en la dirección correcta, ya que permite a los desarrolladores ser más cuidadosos al escribir código, en lugar de pensar en la seguridad como una idea de último momento. De hecho, el 65 por ciento de los profesionales de la seguridad dicen que sus organizaciones están haciendo de la seguridad una parte fundamental del proceso de desarrollo.
un poco.
A pesar de este cambio de «inclinación hacia la izquierda», los equipos de seguridad también dicen que los desarrolladores pasan por alto demasiados errores (el 75 por ciento de los errores) en las primeras etapas de desarrollo y tardan en corregirlos. Esto puede deberse a que más del 60 % de los desarrolladores no ejecutan análisis SAST, mientras que el 73 % de los desarrolladores no ejecutan análisis DAST. La mayoría tampoco ejecuta escaneos de contenedores (solo el 44 por ciento lo hace) y casi la mitad ejecuta escaneos de cumplimiento. (Alrededor del 57 % realiza un análisis de dependencias, lo cual es bueno). Como resultado, más del 42 % de los profesionales de seguridad dicen que las pruebas se realizan demasiado tarde en el ciclo de vida del desarrollo de software, mientras que al 36 % les resulta difícil de entender, manejar y mantener. Corrija los errores tan pronto como los encuentre.
Ahora combine todo esto con la realidad de que todas las organizaciones utilizan activamente software de código abierto, pero relativamente pocas donan efectivo o código a las comunidades de las que dependen, y tenemos DevOps que prometen mejorar y DevSecOps que muestran pocas mejoras. Como escribió recientemente el CEO de Tidelift, Donald Fischer, «los líderes de TI de hoy en día no siempre saben qué ‘ingredientes’ se utilizan en sus aplicaciones». y profesionales del desarrollo dentro de las organizaciones, tenemos mucho trabajo por hacer antes de que podamos celebrar el éxito de DevOps.
Divulgación: trabajo en AWS, pero este artículo no tiene nada que ver con mi trabajo allí.
Imagen: iStockphoto/faithiecannoise
