DevSecOps gana tracción, pero la seguridad sigue rezagada

Los desarrolladores de software y los equipos de operaciones continúan adoptando DevOps y otras metodologías ágiles, así como servicios de automatización y de bajo código, pero aún tienen problemas con la seguridad, las consecuencias de la pandemia de COVID-19 y la escasez de trabajadores de seguridad calificados, según un Encuesta anual recién publicada de GitLab.

DevSecOps da como resultado una mejor calidad de código, una mayor productividad de los desarrolladores y una mayor eficiencia operativa, según la encuesta de más de 5,000 desarrolladores de software, especialistas en operaciones y profesionales de seguridad de aplicaciones. Sin embargo, la seguridad sigue siendo un problema. Si bien más de la mitad (57 %) de los encuestados consideró que la seguridad es una métrica de rendimiento, casi el mismo número dijo que era "difícil lograr que los desarrolladores realmente prioricen la corrección de las vulnerabilidades del código".

La encuesta realizada por el proveedor de la cadena de herramientas subraya que todos los participantes en el proceso de desarrollo e implementación aún necesitan mejorar las comunicaciones y las relaciones entre los grupos, dice Johnathan Hunt, vicepresidente de seguridad de la información y ciberseguridad de GitLab.

“Hacer que los desarrolladores y los profesionales de la seguridad trabajen mejor juntos requiere un enfoque cultural primero para el desarrollo de software a través de la creación de una cultura DevOps”, dice Hunt. “Una plataforma DevOps se presta bien a este enfoque al otorgar a las organizaciones una colaboración fluida entre los equipos de DevSecOps, propiedad compartida de la seguridad y el cumplimiento, y usos estratégicos de tecnologías como la automatización y AI/ML”.

Mezclar y combinar

El encuesta encontrada que no existe un único enfoque dominante para el desarrollo de software, y la mayoría de los equipos utilizan una combinación de enfoques. Si bien la mayoría de los equipos de desarrollo (47 %) utilizó DevOps y DevSecOps, otros enfoques ágiles también representaron una parte importante: el 34 % de los equipos utilizó Scrum, el 24 % utilizó Kanban y el 29 % utilizó metodologías Lean. Los equipos incluso ampliaron su uso del desarrollo Waterfall, con más de una cuarta parte (26 %) adoptando ese enfoque.

“Los equipos de DevOps no se limitan a una sola forma de trabajar”, ​​dice Hunt. “Son flexibles y están dispuestos a ajustar sus enfoques para satisfacer diversas necesidades comerciales y de proyectos”.

El aumento de los enfoques ágiles para el desarrollo y la implementación de software ha resultado en una implementación más rápida del software. Siete de cada 10 encuestados dijeron que sus equipos se despliegan al menos una vez cada pocos días o con mayor frecuencia, un salto de 11 puntos desde 2021. La integración de pruebas, implementaciones y controles de seguridad automatizados en la canalización de desarrollo es un factor clave para acelerar la implementación de aplicaciones, con casi la mitad (47 %) de los equipos afirmando que sus pruebas están completamente automatizadas hoy, frente al 25 % en 2021.

La adopción de API de código bajo y sin código para el desarrollo también ha hecho que los equipos sean más eficientes. Dos tercios (66 %) de los encuestados usan al menos una herramienta de código bajo o sin código en su práctica de DevOps, un aumento significativo del 25 % de los encuestados en 2021.

Sin embargo, el número cada vez mayor de opciones para el desarrollo, la implementación y la seguridad del software ha generado más confusión, lo que ha llevado a los equipos de DevOps a buscar simplificar su canalización y conjuntos de herramientas, encontró el estudio de GitLab. Mientras que el 44 % de los equipos de DevOps utilizan de dos a cinco herramientas para gestionar el proceso de desarrollo de software, el 41 % utiliza entre seis y 10 herramientas.

“Son muchas herramientas, y el 69 % de los encuestados nos dijeron que les gustaría consolidar sus cadenas de herramientas”, afirmó GitLab en el informe de la encuesta.

Inteligencia artificial y aprendizaje automático 'en aumento'

Las tecnologías de inteligencia artificial y aprendizaje automático han visto una adopción mixta entre los desarrolladores y especialistas en seguridad de aplicaciones. Si bien AI/ML se encuentra al final de la lista de prioridades para las carreras futuras de los desarrolladores, la mayoría de los profesionales de seguridad (54 %) dijo que AI/ML los ayudará más en sus futuras carreras. AI/ML se adapta especialmente al dominio de la seguridad. Por ejemplo, los sistemas AI/ML se pueden entrenar para detectar y responder a amenazas, generar alertas y activar conjuntos de reglas.

“Pero AI/ML está lejos de desaparecer del radar de los desarrolladores. De hecho, su uso va en aumento”, dice Hunt, y agrega: “Esto es especialmente útil cuando se trata de detectar y defenderse contra ataques y actores maliciosos, ya que los profesionales de la seguridad no pueden observar cada paquete y conexión que atraviesa una red”.

La seguridad sigue desempeñando un papel más importante en el proceso de desarrollo de software, ya que el 57 % de las empresas trasladan la responsabilidad de la seguridad a la "izquierda" y hacen que los desarrolladores sean más responsables de las vulnerabilidades de su código. Sin embargo, todavía queda mucho camino por recorrer, con un número significativo de desarrolladores que culpan a la seguridad por los retrasos y la división de responsabilidad por la seguridad del software está en constante cambio.

“Si bien los desarrolladores y operativos están asumiendo una mayor parte de la propiedad de la seguridad, no es tan sencillo en el equipo de seguridad”, afirmó GitLab en el informe. “En 2020 y 2021, el porcentaje de profesionales de la seguridad que dijeron que eran totalmente responsables de la seguridad fue aproximadamente el mismo que el de aquellos que dijeron que todos eran responsables”.