Το DevSecOps κερδίζει έλξη — αλλά η ασφάλεια εξακολουθεί να υστερεί

Οι προγραμματιστές λογισμικού και οι ομάδες λειτουργιών συνεχίζουν να υιοθετούν DevOps και άλλες ευέλικτες μεθοδολογίες, καθώς και αυτοματισμούς και υπηρεσίες χαμηλού κώδικα, αλλά εξακολουθούν να αγωνίζονται με την ασφάλεια, τις συνέπειες της πανδημίας COVID-19 και την έλλειψη ειδικευμένων εργαζομένων σε θέματα ασφάλειας, σύμφωνα με πρόσφατα δημοσιευμένη ετήσια έρευνα από το GitLab.

Το DevSecOps έχει ως αποτέλεσμα καλύτερη ποιότητα κώδικα, υψηλότερη παραγωγικότητα προγραμματιστών και βελτιωμένη λειτουργική απόδοση, σύμφωνα με την έρευνα περισσότερων από 5,000 προγραμματιστών λογισμικού, ειδικών λειτουργιών και επαγγελματιών ασφάλειας εφαρμογών. Ωστόσο, η ασφάλεια εξακολουθεί να είναι πρόβλημα. Ενώ περισσότεροι από τους μισούς (57%) των ερωτηθέντων θεώρησαν ότι η ασφάλεια είναι μια μέτρηση απόδοσης, σχεδόν ο ίδιος αριθμός είπε ότι ήταν «δύσκολο να πείσουμε τους προγραμματιστές να δώσουν προτεραιότητα στην επιδιόρθωση των τρωτών σημείων του κώδικα».

Η έρευνα που διεξήχθη από τον πάροχο αλυσίδας εργαλείων υπογραμμίζει ότι όλοι οι συμμετέχοντες στη διαδικασία ανάπτυξης και ανάπτυξης πρέπει να βελτιώσουν τις επικοινωνίες και τις σχέσεις μεταξύ των ομάδων, λέει ο Johnathan Hunt, αντιπρόεδρος ασφάλειας πληροφοριών και κυβερνοασφάλειας στο GitLab.

«Το να κάνουμε τους προγραμματιστές και τους επαγγελματίες ασφαλείας να συνεργαστούν καλύτερα απαιτεί μια προσέγγιση που βασίζεται στον πολιτισμό στην ανάπτυξη λογισμικού μέσω της δημιουργίας μιας κουλτούρας DevOps», λέει ο Hunt. «Μια πλατφόρμα DevOps προσφέρεται για αυτήν την προσέγγιση παρέχοντας στους οργανισμούς απρόσκοπτη συνεργασία μεταξύ των ομάδων DevSecOps, κοινή ιδιοκτησία ασφάλειας και συμμόρφωσης και στρατηγικές χρήσεις τεχνολογιών όπως η αυτοματοποίηση και η AI/ML».

Ανακατεψε και ταιριαξε

Η βρέθηκε έρευνα ότι δεν υπάρχει ενιαία κυρίαρχη προσέγγιση για την ανάπτυξη λογισμικού και οι περισσότερες ομάδες χρησιμοποιούν ένα συνδυασμό προσεγγίσεων. Ενώ η πλειονότητα των ομάδων ανάπτυξης (47%) χρησιμοποίησε DevOps και DevSecOps, άλλες ευέλικτες προσεγγίσεις αντιπροσώπευαν επίσης σημαντικά μερίδια: 34% των ομάδων χρησιμοποίησαν Scrum, 24% Kanban και 29% Lean μεθοδολογίες. Οι ομάδες επέκτειναν ακόμη και τη χρήση της ανάπτυξης του Waterfall, με περισσότερο από το ένα τέταρτο (26%) να υιοθετεί αυτήν την προσέγγιση.

«Οι ομάδες DevOps δεν περιορίζονται σε κανέναν τρόπο εργασίας», λέει ο Hunt. «Είναι ευέλικτοι και πρόθυμοι να προσαρμόσουν τις προσεγγίσεις τους για να καλύψουν διάφορες επιχειρηματικές ανάγκες και ανάγκες έργων».

Η αύξηση των ευέλικτων προσεγγίσεων για την ανάπτυξη και την ανάπτυξη λογισμικού είχε ως αποτέλεσμα την ταχύτερη ανάπτυξη του λογισμικού. Επτά στους 10 ερωτηθέντες είπαν ότι οι ομάδες τους αναπτύσσουν τουλάχιστον μία φορά κάθε λίγες ημέρες ή πιο συχνά, άλμα 11 πόντων από το 2021. Η ενσωμάτωση αυτοματοποιημένων ελέγχων δοκιμών, ανάπτυξης και ασφάλειας στον αγωγό ανάπτυξης είναι ένας βασικός παράγοντας για την επιτάχυνση της ανάπτυξης εφαρμογών, με σχεδόν τις μισές (47%) ομάδες να υποστηρίζουν ότι οι δοκιμές τους είναι πλήρως αυτοματοποιημένες σήμερα, από 25% το 2021.

Η υιοθέτηση χαμηλού κώδικα και API χωρίς κώδικα για ανάπτυξη έχει επίσης κάνει τις ομάδες πιο αποτελεσματικές. Τα δύο τρίτα (66%) των ερωτηθέντων χρησιμοποιούν τουλάχιστον ένα εργαλείο χαμηλού ή χωρίς κώδικα στην πρακτική τους στο DevOps, μια σημαντική αύξηση από το 25% των ερωτηθέντων το 2021.

Ωστόσο, ο αυξανόμενος αριθμός επιλογών για ανάπτυξη, ανάπτυξη και ασφάλεια λογισμικού έχει οδηγήσει σε μεγαλύτερη σύγχυση, οδηγώντας τις ομάδες DevOps να αναζητήσουν την απλοποίηση της γραμμής και των εργαλείων τους, σύμφωνα με τη μελέτη του GitLab. Ενώ το 44% των ομάδων DevOps χρησιμοποιεί δύο έως πέντε εργαλεία για τη διαχείριση της διαδικασίας ανάπτυξης λογισμικού, το 41% ​​χρησιμοποιεί μεταξύ έξι και 10 εργαλείων.

"Αυτά είναι πολλά εργαλεία και το 69% των συμμετεχόντων στην έρευνα μας είπε ότι θα ήθελαν να ενοποιήσουν τις αλυσίδες εργαλείων τους", δήλωσε το GitLab στην έκθεση της έρευνας.

AI και Μηχανική Μάθηση «Σε άνοδο»

Η τεχνητή νοημοσύνη και οι τεχνολογίες μηχανικής μάθησης έχουν μικτή υιοθέτηση μεταξύ των προγραμματιστών και των ειδικών σε θέματα ασφάλειας εφαρμογών. Ενώ το AI/ML βρίσκεται στο κάτω μέρος της λίστας με τις προτεραιότητες για τις μελλοντικές σταδιοδρομίες των προγραμματιστών, η πλειοψηφία των επαγγελματιών ασφαλείας (54%) είπε ότι η AI/ML θα τους βοηθήσει περισσότερο στη μελλοντική τους σταδιοδρομία. Το AI/ML ταιριάζει ιδιαίτερα στον τομέα ασφάλειας. Για παράδειγμα, τα συστήματα AI/ML μπορούν να εκπαιδευτούν ώστε να εντοπίζουν και να ανταποκρίνονται σε απειλές, να δημιουργούν ειδοποιήσεις και να ενεργοποιούν σύνολα κανόνων.

«Αλλά το AI/ML απέχει πολύ από το να πέσει στα ραντάρ των προγραμματιστών. Στην πραγματικότητα, η χρήση του αυξάνεται», λέει ο Hunt, προσθέτοντας: «Αυτό είναι ιδιαίτερα χρήσιμο όταν πρόκειται για τον εντοπισμό και την άμυνα έναντι επιθέσεων και κακόβουλων παραγόντων, καθώς οι επαγγελματίες ασφαλείας δεν μπορούν να παρακολουθήσουν κάθε πακέτο και σύνδεση που διασχίζει ένα δίκτυο».

Η ασφάλεια συνεχίζει να διαδραματίζει μεγαλύτερο ρόλο στον αγωγό ανάπτυξης λογισμικού, με το 57% των εταιρειών να μετατοπίζουν την ευθύνη ασφαλείας «αριστερά» και να κάνουν τους προγραμματιστές πιο υπεύθυνους για τα τρωτά σημεία στον κώδικά τους. Ωστόσο, υπάρχει ακόμη δρόμος να διανυθεί, με έναν σημαντικό αριθμό προγραμματιστών να κατηγορούν την ασφάλεια για καθυστερήσεις και τον καταμερισμό της ευθύνης για την ασφάλεια λογισμικού σε μεγάλη ροή.

«Ενώ οι προγραμματιστές και οι λειτουργικές υπηρεσίες αναλαμβάνουν μεγαλύτερο μερίδιο ιδιοκτησίας ασφάλειας, δεν είναι τόσο απλό για την ομάδα sec», δήλωσε το GitLab στην έκθεση. «Το 2020 και το 2021, το ποσοστό των επαγγελματιών ασφαλείας που δήλωσαν ότι ήταν πλήρως υπεύθυνοι για την ασφάλεια ήταν περίπου το ίδιο με εκείνους που είπαν ότι όλοι ήταν υπεύθυνοι».