La encuesta de GitLab sugiere que DevOps se está volviendo true, mientras que DevSecOps tiene trabajo por hacer


Comentario: los desarrolladores finalmente están asumiendo un papel más operativo, pero aún no se están involucrando lo suficiente en la seguridad.

Hemos estado hablando de DevOps por eones, pero finalmente se está volviendo authentic. Es decir, si las casi 3.700 personas que completaron GitLabSe debe creer la reciente encuesta DevSecOps de 2020. De esos encuestados, el 41% eran desarrolladores, muchos de los cuales dicen que definen y / o crean la infraestructura en la que se ejecutan sus aplicaciones. ¡Éxito!

Bien quizás. Es genial que los desarrolladores asuman más responsabilidades de operaciones, pero una gran falla puede estar en el área de seguridad.

Mucha conversación de DevOps

Contenido para desarrolladores de lectura obligatoria

Pero primero, la buena noticia: los desarrolladores finalmente están teniendo su día DevOps. De los desarrolladores encuestados, el 35% dice que determine y / o crea la infraestructura en la que se ejecuta su aplicación. Un 14% más pequeño pero significativo va un paso más allá y monitorea y responde a esa infraestructura. Además, aproximadamente el 18% instrumenta su código para el monitoreo de la producción, mientras que el 12% sirve como un punto de escalada cuando hay incidentes.

DevOps FTW, ¿verdad?

VER: Cómo construir una carrera exitosa como ingeniero DevOps (PDF free of charge) (TechRepublic)

Especie de. Según los desarrolladores, solo el 35% de ellos están inmersos en DevOps. Mientras tanto, si hace la pregunta a una población más amplia … el 73% dice que ha estado haciendo DevOps durante al menos un año (el 35% ha tenido DevOps en su lugar durante uno o tres años, mientras que el 20% dice que ha estado haciendo DevOps durante al menos un año). haciendo DevOps por más de cinco años). Eso es un montón de DevOps que se realizan sin desarrolladores.

Vamos a atribuirlo a la exuberancia aspiracional. Sin embargo, lo que se desvía menos fácilmente es cómo esta creciente participación del desarrollador en las operaciones se traduce en seguridad.

¿Quien esta a cargo?

En el lado positivo, más del 25% de los desarrolladores que respondieron a la encuesta dijeron que son totalmente responsables de la seguridad dentro de sus organizaciones. (Los profesionales de operaciones, por el contrario, dicen que son responsables solo el 21% del tiempo). Esto debería ser un paso en la dirección correcta, ya que hace que los desarrolladores tengan más cuidado al escribir el código, en lugar de hacer que la seguridad sea una ocurrencia tardía. De hecho, el 65% de los profesionales de seguridad dicen que sus organizaciones están haciendo de la seguridad una parte clave del proceso de desarrollo.

Algo así como.

A pesar de este cambio «hacia la izquierda», los equipos de seguridad también dicen que a los desarrolladores les faltan demasiados errores (75% de los errores) en la primera etapa de desarrollo y son lentos para solucionarlos. Esto podría deberse a que más del 60% de los desarrolladores no ejecutan escaneos SAST, y el 73% no realiza escaneos DAST. La mayoría de los análisis de contenedores tampoco se ejecutan (solo el 44% lo hacen), y cerca de la mitad ejecutan análisis de cumplimiento. (Aproximadamente el 57% realiza análisis de dependencia, lo cual es bueno.) No es sorprendente, entonces, más del 42% de los profesionales de seguridad dicen que las pruebas se realizan demasiado tarde en el ciclo de vida del desarrollo de application, mientras que el 36% argumenta que es difícil de entender, procesar y corregir errores una vez que se descubran.

Ahora blend todo esto con la realidad de que cada organización está utilizando activamente software program de código abierto, pero relativamente pocos están contribuyendo con efectivo o código a las comunidades de las que dependen, y tenemos DevOps que promete mejorar mientras DevSecOps apenas mejora. Como CEO de Tidelift Donald Fischer escribió recientemente, «Los líderes de TI de hoy no siempre saben qué tipo de &#39ingredientes&#39 se utilizan en sus aplicaciones». Ya sea suscribiéndose a Tidelift para cuidar mejor la cadena de suministro de código abierto o integrando mejor a los profesionales de seguridad y desarrolladores dentro de una organización, tenemos mucho trabajo por hacer antes de celebrar el éxito de DevOps.

Divulgación: trabajo para AWS, pero nada en este documento se relaciona con mi trabajo allí.

Ver también

10.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2018/12/06/d8b769b8-b140-489b-b33f-3d6ea5bb908c/resize/770x/874711fb94e277899f2cf682df7dc5cf/10.jpg

Imagen: iStockphoto / faithiecannoise



Enlace a la noticia initial