Os desenvolvedores sabem que a segurança do aplicativo é importante, mas não tem tempo para isso

A Sonatype entrevistou 2.076 profissionais de TI para descobrir as perspectivas dos profissionais sobre a evolução das práticas do DevSecOps, a mudança de investimentos e a mudança de percepção, e os resultados da pesquisa mostraram que as violações relacionadas aos componentes de código aberto cresceram a 50% desde 2017 e 121% desde 2014.

Investimento no DevSecOps

Isso segue as descobertas da Sonatype no início do ano, que mostraram que 1 em cada 8 componentes de código aberto baixados por desenvolvedores no Reino Unido continha uma vulnerabilidade de segurança conhecida.

No entanto, apesar disso, os recursos e o treinamento ainda apresentam desafios: 48% dos entrevistados admitiram que não têm tempo suficiente para gastar em segurança de aplicativos, enquanto 35% dos desenvolvedores de empresas sem práticas de DevOps não receberam treinamento sobre segurança de aplicativos no passado. ano.
O investimento no DevSecOps é crucial

Os resultados também revelaram que os desenvolvedores superam os profissionais de segurança em 100: 1, destacando a necessidade urgente de testes automatizados de segurança de aplicativos para mitigar riscos e melhorar a produtividade dos negócios.

As descobertas demonstraram que mais organizações estão adotando essa abordagem, com práticas maduras de DevOps mostrando um crescimento de 15% ano a ano na aplicação de práticas de segurança ao longo do ciclo de vida do desenvolvimento.

OPIS

A pesquisa constatou que as empresas com práticas maduras de DevOps têm 24% mais chances de implantar práticas de segurança automatizadas durante todo o ciclo de vida de desenvolvimento. Os investimentos em governança de código aberto, segurança de contêiner e firewalls de aplicativos da web foram apontados como os mais críticos para as empresas que buscam as transformações do DevSecOps.

Outras descobertas importantes da pesquisa incluem:

77% das organizações maduras de DevOps possuem políticas de código aberto, com uma taxa de adesão de 76%. Por outro lado, apenas 58% dos entrevistados sem práticas maduras de DevOps tinham uma política com uma taxa de adesão de 54% - revelando que a automação do DevSecOps é difícil de ignorar.
59% das empresas maduras de DevOps estão incorporando mais automação de segurança em seu processo de desenvolvimento, à medida que aumenta a atenção à conformidade com o GDPR.
88% daqueles com práticas maduras de DevOps estão investindo no treinamento de segurança de aplicativos, enquanto 35% com práticas imaturas disseram que não tinham acesso ao treinamento de segurança. Essa descoberta aponta para posturas mais fortes de prontidão para segurança cibernética daqueles que investem em DevOps.
63% dos entrevistados com práticas maduras de DevOps dizem que utilizam produtos de segurança para identificar vulnerabilidades em contêineres, à medida que esses componentes se tornam mais onipresentes nos cenários modernos de TI.
48% dos entrevistados admitiram que os desenvolvedores sabem que a segurança dos aplicativos é importante, mas não têm tempo para gastar com isso, lançando luz sobre o crescimento dos investimentos em segurança automatizados.

“Parece que o DevOps com uma mentalidade de segurança não é suficiente. O DevSecOps completo - em que a segurança é um princípio fundamental da entrega de software e considerado a partir da palavra 'go' - é necessário ”, diz Benjamin Wootton, co-fundador e CTO da Contino.

“Não se trata apenas de automatizar o desenvolvimento, implantação e segurança; também se trata de mudar a maneira como todas as partes de uma organização - técnica ou não - estão envolvidas no ciclo de vida de desenvolvimento de software. Se você pensar bem, verá que, nas grandes organizações, o DevSecOps é realmente o DevSecOps e todos os outros ”, acrescenta Oleg Gryb, arquiteto-chefe de segurança do setor de serviços financeiros.
Mais informações: https://www.helpnetsecurity.com/2018/04/17/devsecops-investment/