Los desarrolladores están de acuerdo: los procesos de seguridad de las aplicaciones tienen un impacto negativo en la productividad


El 86% de los desarrolladores encuestados en una encuesta reciente dijo que cada aspecto de appsec obstaculiza su capacidad de empujar código.

istock-478262468.jpg

Imagen: iStock / g-stockstudio

Una nueva encuesta de desarrolladores ha encontrado que No existe una única herramienta de seguridad de aplicaciones (appsec) que al menos el 80% de los desarrolladores haya dicho que inhiba su productividad.

La seguridad de las aplicaciones involucra herramientas utilizadas para encontrar y corregir vulnerabilidades en las aplicaciones, y el informe, publicado por la firma de aplicaciones ShiftLeft, hace que parezca que todas esas herramientas son espinas en los lados colectivos de los desarrolladores.

VER: Package de contratación: ingeniero de aplicaciones (TechRepublic High quality)

El grado en que varios aspectos de appsec dificultan la productividad del desarrollador varía de un elemento a otro, y el mayor obstáculo (según el 89.7% de los encuestados) es una desconexión entre el desarrollador y los flujos de trabajo de seguridad.

Después de esa desconexión vienen otras siete áreas problemáticas, cada una de las cuales vale la pena mencionar porque la que menos obstaculiza aún causa problemas al 81.3% de los desarrolladores. De más a menos problemáticos son:

  • Realización de pruebas de seguridad demasiado tarde en el ciclo de desarrollo (88.7%)
  • Falta de orientación de remediación (87.7%)
  • Mala calidad de los resultados de las pruebas de seguridad (86,2%)
  • Parches de vulnerabilidad que requieren actualizaciones adicionales al código conectado (85%)
  • Falta de herramientas de análisis de código amigables para el desarrollador (84.4%)
  • Demasiada dependencia de los procesos de seguridad manuales (82.1%)
  • Velocidad del computer software de prueba de seguridad (81.3%)

Los encuestados indicaron que la mayor parte del tiempo perdido dedicado a proteger las aplicaciones se generate durante el desarrollo y mientras las aplicaciones ya están en producción (empatadas en 37.8%).

Se demostró que las herramientas de seguridad basadas en el entorno de desarrollador integrado (IDE) eran las menos populares, y la encuesta dijo que los desarrolladores «a menudo deshabilitan» herramientas de ese tipo. «Insertar seguridad mientras los desarrolladores escriben código (se encontró) es el mayor inhibidor de la productividad del desarrollador», dijo el informe.

VEA: Microservicios: la foundation de las aplicaciones empresariales del mañana (PDF gratuito) (TechRepublic)

El informe también encontró que asegurar el código en el punto de solicitud de extracción / fusión fue el método de appsec que menos inhibe la productividad, pero también descubrió que las desconexiones del flujo de trabajo son el obstáculo más ampliamente reconocido, lo que indica que la aplicación de extracción / fusión puede no ser tan común como Los desarrolladores desearían que así fuera.

«Está claro que escalar para satisfacer las necesidades del SDLC moderno no es algo que appsec pueda gastar o contratar. Involucrar a los desarrolladores y crear una cultura de responsabilidad entre los equipos de desarrollo para asegurar el código que escriben de manera oportuna es el único la forma en que la seguridad puede igualar el ritmo del desarrollo moderno «, concluyó el informe.

Los flujos de trabajo centrados en el desarrollador son la clave para mejorar appsec sin sacrificar el tiempo de productividad, y ShiftLeft dijo que las pruebas de seguridad de aplicaciones estáticas (SAST) y el análisis de composición de application (SCA) son dos de los mejores métodos para desarrollar procesos de aplicaciones centrados en desarrolladores.

Eso no significa que los equipos de seguridad deberían considerar appsec completamente en manos de los desarrolladores, agregó el informe: las pruebas de seguridad de aplicaciones dinámicas, las pruebas de penetración y los firewalls de aplicaciones internet siguen siendo partes necesarias de los ciclos de vida de desarrollo de software que deben manejar los equipos de seguridad. .

La clave es crear «flujos de trabajo de desarrollador especialmente diseñados para herramientas de seguridad centradas en el desarrollador», liberando a los desarrolladores para que hagan lo que tienen que hacer sin interrumpir sus ciclos, y permitiendo que TI maneje el resto de la esfera de seguridad de la aplicación.

Ver también



Enlace a la noticia primary