Encuesta: los equipos respaldados por prácticas maduras de DevOps tienen más probabilidades de integrar seguridad automatizada


Agregar seguridad a DevOps no ha sido tan fácil como automatizar todas las cosas. La encuesta de Sonatype muestra el estado de la industria y en qué puede querer trabajar a continuación.

Contenido para desarrolladores de lectura obligatoria

Los equipos están implementando program de los equipos de DevOps a un ritmo acelerado, según Sonatype, proveedores de la plataforma Nexus para la seguridad de las aplicaciones, que recientemente lanzó el Encuesta de la comunidad DevSecOps 2020. La encuesta también mostró que los equipos con soporte maduro de DevOps eran más felices en sus trabajos.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

El informe tuvo una amplia representación, de más de 5,000 sujetos, 65% identificados como contribuyentes individuales. Eso genera un poco más de confianza en que los datos serán precisos, en lugar de que un CTO o CIO responda las preguntas para la «mejor» división para cada pregunta, separada del trabajo. La mayoría de los encuestados estaban trabajando en la internet (86%) o servicios world wide web (64%), con solo el 29% trabajando en aplicaciones móviles y el 37% en el escritorio. De las organizaciones encuestadas, la mayoría está de acuerdo con grupos de desarrollo más grandes El 68% tiene más de 25 desarrolladores.

screen-shot-2020-05-11-at-11-36-07-am.png "src =" https://tr3.cbsistatic.com/hub/i/r/2020/05/11/a7cab115-dbf6 -4aa3-a19a-a57aa7b06e3b / resize / 770x / 2de1065be97eee0893d2ba870b7aaa6b / screen-shot-2020-05-11-at-11-36-07-am.png

Imagen: Sonatype

Una medida para el éxito de una implementación de DevOps es la frecuencia de implementación, pero puede ser una medida difícil. Por ejemplo, una empresa con una docena de equipos podría desplegarse «dos veces al día», lo que en realidad significa que cada equipo se despliega aproximadamente una vez por semana. Según la encuesta, el 55% de los encuestados se desplegó al menos una vez a la semana, en un contexto que probablemente sea a nivel de equipo.

La pieza más interesante para mí fue el desglose de herramientas. La encuesta divide las herramientas de DecSecOps en diez categorías y pregunta sobre la adopción de cada una. Estos incluyen un firewall de aplicaciones world wide web, gobierno de código abierto, sistema de detección de intrusiones, pruebas de seguridad de análisis estático («escaneo de códigos»), prevención de pérdida de datos, seguridad de contenedores, análisis dinámico («pruebas de penetración»), análisis de composición de software program, pruebas de seguridad de aplicaciones interactivas («prueba de lápiz humano») y Autoprotección de aplicaciones en tiempo de ejecución. Esos términos llegaron en números aproximados de adopción, ya que el 51% de los encuestados menos maduros tiene un firewall internet, pero solo el 20% de los encuestados más maduros ejecuta la autoprotección en tiempo de ejecución.

Desarrolladores felices, desarrolladores gruñones

La encuesta preguntó a los desarrolladores si estaban satisfechos en el trabajo, si recomendarían amigos para trabajar en su empresa, y así sucesivamente, luego usaron las respuestas para convertir a los programadores en «felices» o «gruñones». A partir de ahí, Sonatype cortó las respuestas. Por ejemplo, ¿es más possible que los desarrolladores felices usen las herramientas avanzadas?

screen-shot-2020-05-11-at-11-32-38-am.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/05/11/e35728f7-74fd -4fc6-8247-071845b2f85b / resize / 770x / 0f2c205c8273a5cc60dde5666adcfa8e / screen-shot-2020-05-11-at-11-32-38-am.jpg

Imagen: Sonatype

Los desarrolladores felices tenían casi el doble de probabilidades (65%) que los desarrolladores gruñones (34%) de utilizar el análisis de seguridad en su trabajo. Entre aquellos que no ejecutan análisis de seguridad, esos números se invirtieron casi exactamente: el 34% de los desarrolladores felices carecían de las herramientas y el 66% de los gruñones. Las prácticas maduras de DevOps también tenían más probabilidades de tener empleados satisfechos, con el 92% de los encuestados de alta madurez satisfechos en el trabajo y solo el 61% de las tiendas de menor madurez. Los desarrolladores gruñones también informaron menos conocimiento en todos los ámbitos de las herramientas de seguridad, a excepción de «Gestión de seguridad» (con un 20% de satisfacción / 22% de mal humor) y Rumor, donde el 19% de los desarrolladores gruñones indicaron que estaban informados, versos del 5% de contento .

Los desarrolladores felices pueden estar demasiado ocupados haciendo las cosas.

Le pedí a Derek Months, vicepresidente de Sonatype, que explicara la encuesta, cómo la organización llegó a conocer esas herramientas y un ejemplo true del impacto de quedarse sin ellas.

Métodos de encuesta

Sonatype mantiene una lista de correo electrónico con 160,000 profesionales de software package que representan una amplia selección de la industria. Eso al menos redujo mi primera sospecha, que las personas que se seleccionan a sí mismas para esta encuesta estarán en el lado más altamente involucrado y de alta función, lo que conducirá a resultados asimétricos. Para las preguntas, Sonatype recurrió a una variedad de asesores, incluidos el DevOps Institute, Verica, la división DevOps del Carnegie Mellon&#39s Software program Engineering Institute, Cloudbees y DevOps.com. Eso significaba que las diez categorías de herramientas eran un resultado más de consenso que una sola opinión. La encuesta también solicitó a las personas que se vehicle-seleccionen si tienen un alto o bajo funcionamiento en la práctica. Después de la autoselección, Sonatype realizó una doble verificación por su cuenta. Si afirmaba tener una alta madurez pero dijo que su método de desarrollo period una cascada y lanzaba software web trimestralmente, el equipo degradaría la selección.

Volviéndose real

Le pregunté a Months por un ejemplo de cómo las prácticas DevSecOps podrían conducir a un problema grave, y él me señaló la reciente Problema de seguridad de SaltStack. Los mantenedores de Salt Stack pusieron un parche disponible antes de anunciar una vulnerabilidad de seguridad. Sin embargo, a menos que supiera que estaba usando SaltStack y tuviera un sistema de gobierno para verificar las correcciones, su software package podría estar expuesto y en World wide web, lo que condujo a media docena de violaciones de seguridad el día después del anuncio. La encuesta informó que el 21% de los encuestados había tenido una violación de seguridad de código abierto en el último año. Weeks dijo: «En todo caso, para ser realistas, espero que ese número sea mayor».

Ver también

Protección del sistema informático, seguridad de la base de datos, internet seguro. Símbolo de bloqueo en el fondo de datos de computadora abstracta programación código binario, tecnología de protección de datos. Ilustración vectorial "src =" https://tr3.cbsistatic.com/hub/i/r/2020/04/30/42d4b59d-3e7d-4cf6-87eb-ce75e948fcab/resize/770x/b4e68ac442b65ea5e5356a8bd1e3efe3/jonathan1.jpg

Getty Photos / iStockphoto



Enlace a la noticia authentic