La seguridad de autoservicio para desarrolladores es la …



Los equipos de DevOps con integración de seguridad completa y capacidades de autoservicio tienen un 80% más de probabilidades de corregir vulnerabilidades críticas en menos de un día, según el noveno informe anual «State of DevOps».

Las organizaciones de DevOps altamente maduras que pueden integrar funciones de seguridad en todas las etapas de desarrollo están proporcionando a sus desarrolladores más herramientas de autoservicio y, en consecuencia, están solucionando vulnerabilidades más rápido como resultado. Así lo dice el «Informe del estado de DevOps 2020», que muestra que la madurez de la seguridad ha mejorado lenta pero seguramente en todas las organizaciones de DevOps este año.

los reporte se basa en una de las encuestas anuales más completas y de más larga duración de los profesionales de DevOps, que este año consultó a 2.400 profesionales de una variedad de roles de desarrollo, TI y seguridad de la información dentro de sus organizaciones. Un tema importante de este año es el papel que desempeñan las herramientas de autoservicio en el éxito de DevOps, no solo para la seguridad, sino también para permitir a los equipos de ingeniería con funciones de autoservicio aprovisionar sistemas, administrar configuraciones, rastrear el rendimiento y aprovechar las bibliotecas de componentes de application. .

El informe muestra que las organizaciones de mayor madurez adoptan un enfoque de plataforma interna para ofrecer estas capacidades de autoservicio, a menudo administradas por un equipo de plataforma que escala las plataformas para respaldar el trabajo de una malla de diferentes equipos de desarrollo y proyectos de aplicaciones en una organización.

«En términos generales, el equipo de la plataforma proporciona la infraestructura, los entornos, las canalizaciones de implementación y otros servicios internos que permiten a los clientes internos, generalmente equipos de desarrollo de aplicaciones, construir, implementar y ejecutar sus aplicaciones», explica el informe.

La encuesta muestra que el 63% de las organizaciones hoy en día utilizan plataformas internas, y alrededor del 71% de las que utilizan entre dos y cinco plataformas internas diferentes. Aproximadamente cuatro de cada 10 organizaciones dicen que el 50% o más de sus desarrolladores ahora usan plataformas internas.

La capacidad de las organizaciones para incorporar la funcionalidad de seguridad de autoservicio en estas plataformas internas tiende a estar altamente correlacionada con el grado en que se ha logrado la integración de la seguridad a lo largo del ciclo de vida de la entrega de software program. La encuesta pidió a los encuestados que eligieran en cuál de las cinco fases del ciclo de vida se integra la seguridad: requisitos, diseño, construcción, pruebas e implementación. Encontró que la proporción de organizaciones con dos o más fases integradas ha aumentado del 63% el año pasado al 70% este año. La proporción de organizaciones con integración completa ahora es del 12%.

Como explica el informe, la oferta de autoservicio de seguridad y validación de cumplimiento está entrelazada con el impulso para una mayor integración. Mientras tanto, entre aquellos con tres o cuatro fases de desarrollo integradas con seguridad, el 42% ofrece seguridad de autoservicio y validación de cumplimiento. Y el 58% de aquellos que han logrado una integración de seguridad completa en las cinco fases dicen que brindan seguridad de autoservicio. Las empresas que tienen seguridad totalmente integrada tienen más del doble de probabilidades de ofrecer seguridad de autoservicio que las empresas sin integración de seguridad.

«Integrar la seguridad en todas las etapas del ciclo de vida de la entrega de software program es más que simplemente desplazar los controles de seguridad hacia la izquierda», explica el informe. «La integración de la seguridad requiere un enfoque completamente diferente, uno que enfatice la colaboración entre equipos y habilite a los equipos de entrega para prevenir, descubrir y remediar de manera autónoma los problemas de seguridad».

Una mayor integración y uso de la seguridad de autoservicio parece contribuir en gran medida a los resultados positivos de seguridad de las aplicaciones. Solo el 25% de las organizaciones sin integración de seguridad y con bajos niveles de capacidades de seguridad de autoservicio dicen que pueden remediar vulnerabilidades de seguridad críticas en menos de un día. En el otro lado del espectro, el 45% de las organizaciones con integración de seguridad completa y alta incidencia de ofertas de seguridad de autoservicio dicen que pueden corregir fallas críticas en un día.

Ericka Chickowski se especializa en cobertura de tecnología de la información e innovación empresarial. Se ha centrado en la seguridad de la información durante la mayor parte de una década y escribe regularmente sobre la industria de la seguridad como colaboradora de Dim Reading. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original