Los analistas de seguridad quieren más ayuda de los desarrolladores para mejorar DevSecOps


Más capacitación sobre herramientas de seguridad y mejores métricas de rendimiento pueden lograr esto, según una nueva encuesta.

Una encuesta a 378 profesionales de la seguridad y desarrolladores de software encontró que las presiones de tiempo obligaban a las empresas a introducir código vulnerable en producción.

«data-credit =» Imagen: Synopsys «rel =» noopener noreferrer nofollow «>synopsys-survey.jpg

Una encuesta a 378 profesionales de la seguridad y desarrolladores de computer software encontró que las presiones de tiempo obligaban a las empresas a introducir código vulnerable en producción.

Imagen: Synopsys

Los desarrolladores y los analistas de seguridad trabajan juntos a diario para crear aplicaciones más seguras, pero la capacitación aún no es una prioridad, según una nueva encuesta. Synopsys Inc. publicó los resultados de una encuesta realizada por Business Tactic Team (ESG) en el Libro electrónico «Seguridad en el desarrollo de aplicaciones modernas». La encuesta preguntó a los profesionales de software package y seguridad sobre herramientas de colaboración, capacitación y seguridad.

El setenta y ocho por ciento de los encuestados dijo que sus analistas de seguridad están directamente involucrados en el proceso de desarrollo de program, con un 31% trabajando directamente con los desarrolladores para revisar las funciones individuales y el código, el 28% trabajando con los desarrolladores para hacer el modelado de amenazas y el 19% participando en scrums diarios.

VER: Glosario rápido: DevOps (TechRepublic Top quality)

La mayoría de las empresas requieren que los desarrolladores de application completen alguna capacitación en seguridad, pero no de forma normal:

  • Trimestral: 29%
  • Anualmente: 17%
  • Cuando es contratado: 20%
  • Justo a tiempo: 17%

El otro problema es que solo el 15% de los encuestados dijo que la mayoría de los desarrolladores participan en capacitación official en seguridad.

Dave Gruber, analista senior de ESG y autor del informe, dijo que parte del problema es que los equipos de seguridad y desarrollo tienen diferentes métricas y objetivos.

«Esto se ve agravado aún más por el hecho de que la mayoría de los equipos de seguridad no comprenden las prácticas modernas de desarrollo de aplicaciones», dijo en un comunicado de prensa. «El cambio a arquitecturas impulsadas por microservicios y el uso de contenedores y arquitecturas sin servidor ha cambiado la dinámica de cómo los desarrolladores crean, prueban e implementan código».

La encuesta también encontró que el 48% de los encuestados empujan el código vulnerable a producción debido a presiones de tiempo y el 60% informa explotaciones de algunos de los Las 10 principales vulnerabilidades de OWASP. La encuesta también preguntó quién toma la decisión de impulsar el código y la responsabilidad se dividió entre el equipo de desarrollo, el equipo de seguridad o, a veces, ambos:

  • Decisión del equipo: 28%
  • Gerente de desarrollo: 24%
  • Analista de seguridad: 21%

Gestionar múltiples herramientas

El cuarenta y tres por ciento de los encuestados dijeron que tienen entre 11 y 20 herramientas de seguridad de aplicaciones individuales implementadas. Al mismo tiempo, el 54% dijo que este volumen period solo un problema menor. La mitad de los encuestados dijo que sus empresas planean aumentar el gasto en estas herramientas durante el próximo año. Las principales prioridades de gasto, según la encuesta, son asegurar los procesos de desarrollo de aplicaciones en la nube (43%) y consolidar herramientas para simplificar el proceso normal (34%).

Los encuestados enumeraron estos problemas como los cinco principales desafíos con las herramientas de prueba:

  • Capacidad limitada de los desarrolladores para mitigar los problemas identificados: 29%
  • Falta de integración entre las herramientas de los proveedores de seguridad de aplicaciones: 26%
  • Fricción adicional a los ciclos de desarrollo: 26%
  • Uso limitado de herramientas de seguridad existentes por parte de los desarrolladores: 24%
  • Falta de capacidad para agregar y deducir hallazgos de varias herramientas: 24%

Synopsys recomienda que los programas de seguridad de AppDev incluyan estos 10 elementos para ser los más efectivos:

  1. Los controles de seguridad de las aplicaciones están altamente integrados en la cadena de herramientas de CI / CD.
  2. Las mejores prácticas de seguridad de las aplicaciones están documentadas formalmente.
  3. La capacitación en seguridad de aplicaciones está incluida en el programa de capacitación en seguridad de desarrollo.
  4. Los gerentes de desarrollo son responsables de comunicar las mejores prácticas a los desarrolladores.
  5. Un alto porcentaje de desarrolladores participan en capacitaciones formales en seguridad.
  6. Se realiza un seguimiento de la introducción de problemas de seguridad para los equipos de desarrollo individuales.
  7. Los procesos formales y las métricas rastrean la mejora continua de la seguridad de las aplicaciones.
  8. Se realiza un seguimiento de las métricas de mejora continua para los equipos de desarrollo individuales.
  9. Los problemas de seguridad se controlan durante el proceso de desarrollo del código.
  10. Las herramientas de agregación de riesgos automatizadas acumulan riesgos para mantener informados a los líderes de desarrollo senior.

Synopsys encargó a ESG que realizara esta encuesta de profesionales de desarrollo de aplicaciones y seguridad en junio de 2020. ESG encuestó a 378 personas en empresas de manufactura, servicios financieros, construcción / ingeniería y servicios comerciales en los EE. UU. Y Canadá.

Ver también



Enlace a la noticia first