DESARROLLADOR

La adopción de DevSecOps es baja, pero se está viendo afectada entre las organizaciones de usuarios

Las limitaciones técnicas son una barrera para el éxito, pero un nuevo informe encuentra que DevSecOps podría cambiar las reglas del juego y verá una tracción creciente en el mercado.

Concepto de programación del ciclo de desarrollo de software DevSecOps. El empresario presiona el botón.
Imagen: Adobe Stock

Solo el 22 % de las organizaciones encuestadas tienen una estrategia formal de DevSecOps para integrar la seguridad en el proceso del ciclo de vida del desarrollo de software. Informe recientemente publicado encuentraPero según el proveedor de la plataforma de datos de observabilidad Mezmo, la gran mayoría de esos informes tuvieron un impacto positivo en la aceleración de los esfuerzos de detección de incidentes (95 %) y respuesta (96 %).

A pesar de la baja tasa de adopción actual, el estudio también confirma el crecimiento potencial de la industria, con el 62 % de los encuestados diciendo que su organización está evaluando activamente casos de uso o planeando implementar DevSecOps.

«DevSecOps siempre ha sido un desafío porque con el desarrollo nativo de la nube, los desarrolladores pueden configurar e implementar sus propias aplicaciones en la nube sin la ayuda de otros equipos», explicó Melinda Marks, analista sénior de ESG, quien representa a ESG y realizó la encuesta. Mezmó. «Es difícil para los equipos de seguridad integrar pruebas o procesos de seguridad en el desarrollo porque los desarrolladores pueden omitir ciertos procesos de seguridad si son disruptivos, si parece que está tomando demasiado tiempo o si está generando demasiadas alertas. Deje que ellos lo arreglen».

LEER  CSS: agregar texto al botón

Otro problema, agregó Marks, es que los desarrolladores pueden estar usando herramientas de prueba para probar y solucionar problemas en el código, pero el equipo de seguridad no tiene forma de entender lo que están haciendo. Según Marks, muchas organizaciones implementan productos de seguridad que monitorean las aplicaciones en busca de configuraciones incorrectas mientras se ejecutan en la nube, pero en este punto, los problemas son más difíciles de solucionar y, dado que las aplicaciones están activas, estos problemas estarán expuestos a clientes y piratas informáticos. .

En 200 organizaciones encuestadas profesionales de DevOps y TI/seguridad de la información, el estudio encontró que más de la mitad de los que usaban herramientas y procesos de DevSecOps experimentaron significativamente menos incidentes en producción. El mayor impacto informado fue en la aceleración de los esfuerzos de detección de incidentes, con casi la mitad reportando mejoras significativas en los tiempos de respuesta y remediación de incidentes.

Mirar: Kit de herramientas de contratación: desarrollador de Python (República Tecnológica Premium)

Factores que limitan la adopción y el éxito de DevSecOps

Según la investigación, existe una clara diferencia entre los desafíos de implementación percibidos y los desafíos reales. Las empresas creen que construir una cultura de colaboración y alentar a los desarrolladores a aprovechar las mejores prácticas de seguridad es casi tan importante como adoptar las herramientas DevSecOps, dijo Mezmo. Si bien la transformación cultural a menudo se ve como un impedimento para la adopción, quienes practican DevSecOps informan que las limitaciones técnicas, como la captura y el análisis de datos, son en realidad barreras mayores para el éxito.

El 84 % de los encuestados cree que proporcionar a los desarrolladores los datos y las herramientas adecuados es la clave del éxito. Sin embargo, a medida que las organizaciones aumentan la velocidad y el volumen de los lanzamientos para atender a más clientes, recopilan grandes cantidades de datos. Las organizaciones encuestadas capturan terabytes (54 %) o incluso cientos (32 %) por mes, con un 6 % capturando petabytes o más por mes.

Recopilar, almacenar y analizar grandes cantidades de datos para la clasificación y respuesta a incidentes requiere mucho tiempo. De hecho, 17,5 horas-hombre es el tiempo medio que se tarda en clasificar y comprender un incidente de seguridad, una cifra que el 82 % de las empresas quiere reducir. La mayoría de las organizaciones (69 %) no capturan algunas fuentes de datos debido al alto costo de almacenamiento/retención, lo que será un problema si ocurre un incidente y la organización no tiene datos completos para un análisis completo y/o una respuesta oportuna.

Mirar: Kit de herramientas de contratación: desarrollador backend (República Tecnológica Premium)

Cómo aprovechar al máximo sus datos con observabilidad

Las investigaciones muestran que el 91 % de las organizaciones utilizan múltiples herramientas para obtener el máximo valor de sus datos, lo que dificulta que varios grupos accedan a los datos que necesitan para hacer su trabajo. Según los informes, no tener una «fuente única de la verdad» fue el mayor desafío que frenó al equipo.

Las claves para el desarrollo de software moderno, dice Marks, son la velocidad y la eficiencia. «DevSecOps ha sido un desafío porque los enfoques de seguridad tradicionales son demasiado perjudiciales para los procesos; las organizaciones necesitan soluciones que funcionen en los flujos de trabajo y las herramientas de los desarrolladores, así como en su pila de tecnología nativa de la nube».

Dijo que cuando se utilizan datos de observabilidad, pueden ayudar a aumentar la eficiencia, ya que brindan información para mejorar los procesos de seguridad, las políticas y una respuesta más rápida a los incidentes.

«Para moverse rápido y crear aplicaciones seguras, las empresas necesitan soluciones que les ayuden a aprovechar el valor de sus datos para generar mejores resultados», dijo el CEO de Mezmo, Tucker Callaway, en un comunicado. «Para lograr esto, el equipo buscaba una solución de observabilidad flexible y escalable con automatización para ayudar a mejorar la recopilación y el análisis de datos».

Actualmente, la mayoría de las empresas (87 %) utilizan herramientas de código abierto como parte o la totalidad de sus pilas de observabilidad porque son más personalizables. Pero el 84% cree que será un desafío administrar, adoptar y escalar estas herramientas.

Según Mezmo, casi todos los encuestados (98 %), desde desarrolladores de aplicaciones hasta profesionales de TI y seguridad, dijeron que es probable que investiguen soluciones de observabilidad administrada en los próximos 12 meses.

LEER  Google quiere que codifiques en el navegador con Project IDX

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba