DevSecOps набирает обороты, но безопасность все еще отстает

25 августа 2022 г. 11:40
 402

Безопасность остается главной областью, требующей инвестиций.

Почти половина команд разрабатывают и внедряют программное обеспечение, используя подход DevSecOps, но, как показало исследование, безопасность остается главной областью, требующей инвестиций.

Разработчики программного обеспечения и операционные команды продолжают внедрять DevOps и другие гибкие методологии, а также автоматизацию и низкокодовые сервисы, но по-прежнему испытывают трудности с безопасностью, последствиями пандемии COVID-19 и нехваткой квалифицированных специалистов по безопасности, согласно данным недавно опубликованного ежегодного исследования GitLab.

Применение DevSecOps приводит к улучшению качества кода, повышению производительности разработчиков и операционной эффективности, согласно опросу более чем 5000 разработчиков программного обеспечения, специалистов по эксплуатации и профессионалов в области безопасности приложений. Однако безопасность все еще остается проблемой. Хотя более половины опрошенных (57%) считают безопасность показателем качества, почти столько же заявили, что «трудно заставить разработчиков действительно уделять приоритетное внимание устранению уязвимостей кода».

По словам Джонатана Ханта, вице-президента по информационной безопасности компании GitLab, опрос, проведенный поставщиком инструментария, подчеркивает, что всем участникам процесса разработки и внедрения все еще необходимо улучшать коммуникации и взаимоотношения между группами.

«Для того чтобы разработчики и специалисты по безопасности лучше работали вместе, необходим подход к разработке программного обеспечения через создание культуры DevOps» - сообщает Хант. «Платформа DevOps хорошо подходит для этого, предоставляя организациям беспрепятственное сотрудничество между командами DevSecOps, совместную ответственность за безопасность и соответствие нормативным требованиям, а также стратегическое использование таких технологий, как автоматизация и AI/ML».

Смешивай и сочетай.

Исследование показало, что единого доминирующего подхода к разработке программного обеспечения не существует, и большинство команд используют сочетание различных стратегий. Хотя большинство команд разработчиков (47%) используют DevOps и DevSecOps, значительная доля приходится на другие agile-подходы: 34% команд использовали Scrum, 24% - Kanban и 29% - Lean методологии. Команды даже расширили использование «водопадной» разработки: более четверти (26%) применяют этот подход.

«Команды DevOps не ограничивают себя каким-то одним способом работы» - заявил Хант. «Они гибкие и готовы корректировать свои подходы для удовлетворения различных потребностей бизнеса и проектов».

Рост числа гибких подходов к разработке и развертыванию программного обеспечения привел к ускорению процесса внедрения. Семь из десяти респондентов опроса заявили, что их команды развертывают программное обеспечение не реже одного раза в несколько дней или чаще, что на 11 пунктов больше, чем в 2021 году. Интеграция автоматизированного тестирования, развертывания и контроля безопасности в процесс разработки является ключевым фактором ускорения развертывания приложений: почти половина (47%) команд утверждает, что сегодня их тестирование полностью автоматизировано, по сравнению с 25% в 2021 году.

Применение API с «низким» кодом и бескодовых API для разработки также повысило эффективность работы команд. Две трети (66%) участников опроса используют в своей практике DevOps как минимум один инструмент с низким кодом или без кода, что значительно больше, чем 25% опрошенных в 2021 году.

Однако растущее количество вариантов разработки, развертывания и защиты программного обеспечения привело к еще большей путанице, что заставляет команды DevOps искать пути упрощения конвейера и набора инструментов, показало исследование GitLab. Если 44% DevOps-команд используют от двух до пяти инструментов для управления процессом разработки ПО, то 41% - от шести до 10 инструментов.

«Это очень много инструментов, и 69% участников опроса сказали нам, что хотели бы консолидировать свои наборы инструментов» - сообщается в отчете GitLab.

ИИ и машинное обучение «на подъеме».

Технологии искусственного интеллекта и машинного обучения (AI/ML) получили неоднозначное признание среди разработчиков и специалистов по безопасности приложений. В то время как AI/ML находится в нижней части списка приоритетов для будущей карьеры разработчиков, большинство специалистов по безопасности (54%) заявили, что AI/ML поможет им в их будущей карьере. AI/ML особенно подходит для сферы безопасности. Например, системы AI/ML можно обучить обнаруживать и реагировать на угрозы, генерировать предупреждения и запускать наборы правил.

«Но AI/ML-технологии далеко не исчезают с радаров разработчиков. Более того, их использование растет» - говорит Хант, добавляя: «Это особенно полезно, когда речь идет об обнаружении и защите от атак и злоумышленников, поскольку специалисты по безопасности не могут следить за каждым пакетом и соединением, проходящим через сеть».

Безопасность продолжает играть все большую роль в процессе разработки программного обеспечения, причем 57% компаний перекладывают ответственность за безопасность «влево» и возлагают на разработчиков большую ответственность за уязвимости в их коде. Однако до этого еще далеко: значительное число разработчиков обвиняют службу безопасности в задержках, а распределение ответственности за безопасность программного обеспечения находится в процессе изменения.

«В то время как «dev» и «ops» берут на себя все большую долю ответственности за безопасность, в команде «sec» все не так однозначно» - сообщается в отчете GitLab. «В 2020 и 2021 годах процент специалистов по безопасности, которые сказали, что они полностью отвечают за безопасность, был примерно таким же, как и среди тех, кто сказал, что безопасность – коллективная ответственность».

 

Источник: https://www.darkreading.com

Изображение: pikisuperstar / Freepik 

Системы информационной безопасности