Encuesta: Es más probable que los equipos respaldados por prácticas maduras de DevOps integren seguridad automatizada
Agregar seguridad a DevOps no es tan fácil como automatizarlo todo. La encuesta de Sonatype muestra el estado actual de la industria y lo que podría querer hacer a continuación.
Los equipos están acelerando la implementación del software de los equipos DevOps, según Sonatype, un proveedor de la plataforma de seguridad de aplicaciones Nexus, que lanzó recientemente Encuesta de la comunidad DevSecOps 2023La encuesta también muestra que los equipos con soporte maduro de DevOps son más felices en el trabajo.
Mirar: Ciberseguridad: Let’s Tactics (PDF gratuito) (República tecnológica)
El informe fue ampliamente representativo, con más de 5000 sujetos, el 65% de los cuales fueron identificados como contribuyentes individuales. Esto crea más confianza en que los datos serán precisos, en lugar de que el CTO o el CIO respondan preguntas para el «mejor» departamento para cada pregunta, independientemente del trabajo. La mayoría de los encuestados usa la web (86 %) o los servicios web (64 %), con solo el 29 % usando aplicaciones móviles y el 37 % usando computadoras de escritorio. De las organizaciones encuestadas, la mayoría está de acuerdo con grupos de desarrollo más grandes; el 68 % tiene más de 25 desarrolladores.
Una medida del éxito de una implementación de DevOps es la frecuencia de implementación, pero esto puede ser complicado. Por ejemplo, una empresa con una docena de equipos puede implementar «dos veces al día», lo que significa que cada equipo se implementa una vez a la semana. Según la encuesta, el 55 % de los encuestados se despliegan al menos una vez a la semana; en contexto, esto puede ser a nivel de equipo.
La parte más interesante para mí es el desglose de las herramientas. La encuesta dividió las herramientas DecSecOps en 10 categorías y preguntó sobre la adopción de cada categoría. Estos incluyen firewall de aplicaciones web, gobernanza de código abierto, sistemas de detección de intrusiones, pruebas de seguridad de análisis estático («escaneo de código»), prevención de pérdida de datos, seguridad de contenedores, análisis dinámico («pruebas de penetración»), análisis de cartera de software, pruebas de seguridad de aplicaciones interactivas ( «Pruebas de penetración») «Prueba de lápiz humano») y autoprotección de aplicaciones en tiempo de ejecución. La adopción de estos términos es alta, ya que el 51 % de los encuestados incluso menos sofisticados tienen un firewall de red, pero solo el 20 % de los encuestados más sofisticados ejecutan autoprotección en tiempo de ejecución.
desarrollador feliz, desarrollador gruñón
La encuesta preguntó a los desarrolladores si estaban satisfechos con sus trabajos, si recomendarían amigos para trabajar en sus empresas y más, y luego usó esas respuestas para clasificar a los programadores como «felices» o «gruñones». A partir de ahí Sonatype cruza la respuesta. Por ejemplo, ¿es más probable que los desarrolladores felices utilicen herramientas avanzadas?
Los desarrolladores felices tienen casi el doble de probabilidades (65 %) de usar análisis de seguridad en el trabajo que los desarrolladores gruñones (34 %). Entre los que no hacen análisis de seguridad, los números se invierten casi por completo, con un 34 % de desarrolladores satisfechos que carecen de herramientas y un 66 % gruñones. Es más probable que las prácticas maduras de DevOps mantengan satisfechos a los empleados, ya que el 92 % de los encuestados de alta madurez están satisfechos con su trabajo, en comparación con el 61 % de las empresas de baja madurez. Además de «Gestión de seguridad» (20 % satisfecho / 22 % insatisfecho) y Rumor, los desarrolladores malhumorados también informan un menor conocimiento de las herramientas de seguridad, con un 19 % de desarrolladores malhumorados que dicen obtener clientes potenciales y solo un 5 % de desarrolladores felices.
Los desarrolladores felices probablemente estén realmente ocupados haciendo el trabajo.
Le pedí al vicepresidente de Sonatype, Derek Weeks, que explicara la encuesta, cómo la organización se enteró de estas herramientas y que brindara un ejemplo del mundo real del impacto de no usarlas.
método de investigación
Sonatype mantiene una lista de correo electrónico de 160.000 profesionales de software que representan una amplia selección en la industria. Esto al menos reduce mi primera sospecha de que las personas que se autoseleccionaron para esta encuesta estarían en el lado más comprometido y funcional, sesgando los resultados. Para estas preguntas, Sonatype consultó con una variedad de consultores, incluido el Instituto DevOps, Verica, la división DevOps del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon, Cloudbees y DevOps.com. Esto significa que estas 10 categorías de herramientas son más el resultado de un consenso que una sola opinión. La encuesta también pidió a las personas que eligieran si tenían un alto o bajo funcionamiento en la práctica. Después de la autoselección, Sonatype realiza una doble verificación por su cuenta. Si afirma que su madurez es alta, pero dice que su enfoque de desarrollo es en cascada y lanza software web trimestralmente, el equipo reduce las opciones.
volverse real
Le pregunté a Weeks sobre ejemplos de cómo las prácticas de DevSecOps pueden conducir a problemas graves, y me señaló un reciente Problemas de seguridad de SaltStackLos mantenedores de SaltStack proporcionaron un parche antes de anunciar el agujero de seguridad. Sin embargo, a menos que sepa que está utilizando SaltStack y tenga un sistema de control para buscar soluciones, su software podría estar expuesto a Internet, lo que provocó seis violaciones de seguridad el día después del anuncio. La encuesta informó que el 21 por ciento de los encuestados había encontrado una brecha de seguridad de código abierto en el último año. «En todo caso, para ser honesto, esperaría que ese número sea más alto», dijo Weeks.
