DevSecOps کشش را به دست می‌آورد - اما امنیت همچنان عقب است

توسعه‌دهندگان نرم‌افزار و تیم‌های عملیاتی همچنان به استفاده از DevOps و سایر متدولوژی‌های چابک و همچنین اتوماسیون و سرویس‌های کم‌کد ادامه می‌دهند، اما طبق یک گزارش، همچنان با امنیت، پیامدهای همه‌گیری COVID-19 و کمبود نیروهای امنیتی ماهر دست و پنجه نرم می‌کنند. نظرسنجی سالانه جدید منتشر شده از GitLab.

بر اساس نظرسنجی بیش از 5,000 توسعه‌دهنده نرم‌افزار، متخصصان عملیات و متخصصان امنیت برنامه‌ها، DevSecOps منجر به کیفیت کد بهتر، بهره‌وری بیشتر توسعه‌دهنده و بهبود کارایی عملیاتی می‌شود. با این حال، امنیت هنوز یک مشکل است. در حالی که بیش از نیمی (57٪) از افراد مورد بررسی، امنیت را یک معیار عملکردی می‌دانستند، تقریباً همین تعداد گفتند که "سخت است که برنامه‌نویس‌ها واقعاً آسیب‌پذیری‌های کد را در اولویت قرار دهند."

جاناتان هانت، معاون امنیت اطلاعات و امنیت سایبری در GitLab می‌گوید، نظرسنجی انجام‌شده توسط ارائه‌دهنده زنجیره ابزار تأکید می‌کند که همه شرکت‌کنندگان در فرآیند توسعه و استقرار هنوز باید ارتباطات و روابط بین گروه‌ها را بهبود بخشند.

هانت می‌گوید: «برداشتن توسعه‌دهندگان و متخصصان امنیتی برای همکاری بهتر با یکدیگر نیازمند یک رویکرد فرهنگ‌سازی برای توسعه نرم‌افزار از طریق ایجاد فرهنگ DevOps است. پلتفرم DevOps با اعطای همکاری یکپارچه بین تیم‌های DevSecOps، مالکیت مشترک امنیت و انطباق، و استفاده استراتژیک از فناوری‌هایی مانند اتوماسیون و AI/ML، به خوبی به این رویکرد کمک می‌کند.

ترکیب و مطابقت

La بررسی یافت که هیچ رویکرد غالب واحدی برای توسعه نرم افزار وجود ندارد و اکثر تیم ها از ترکیبی از رویکردها استفاده می کنند. در حالی که اکثر تیم های توسعه (47٪) از DevOps و DevSecOps استفاده می کردند، سایر رویکردهای چابک نیز سهم قابل توجهی را به خود اختصاص دادند: 34٪ از تیم ها از Scrum، 24٪ از Kanban و 29٪ از روش های Lean استفاده کردند. تیم ها حتی استفاده از توسعه آبشار را گسترش دادند و بیش از یک چهارم (26٪) این رویکرد را اتخاذ کردند.

هانت می‌گوید: «تیم‌های DevOps خود را به هیچ روشی محدود نمی‌کنند. "آنها انعطاف پذیر هستند و مایلند رویکردهای خود را برای برآورده کردن نیازهای مختلف کسب و کار و پروژه تنظیم کنند."

افزایش رویکردهای چابک برای توسعه و استقرار نرم افزار منجر به استقرار سریعتر نرم افزار شده است. از هر 10 پاسخ دهندگان نظرسنجی، هفت نفر گفتند که تیم های آنها حداقل هر چند روز یک بار یا بیشتر مستقر می شوند. جهش 11 امتیازی نسبت به سال 2021. ادغام تست، استقرار و کنترل‌های امنیتی خودکار در خط لوله توسعه یک عامل کلیدی در سرعت بخشیدن به استقرار برنامه‌ها است، به طوری که تقریباً نیمی (47٪) از تیم‌ها ادعا می‌کنند که آزمایش آنها امروز کاملاً خودکار است، از 25٪ در سال 2021.

استفاده از APIهای کم‌کد و بدون کد برای توسعه نیز تیم‌ها را کارآمدتر کرده است. دو سوم (66%) از نظرسنجی‌کنندگان از حداقل یک ابزار کم‌کد یا بدون کد در تمرین DevOps خود استفاده می‌کنند، که نسبت به 25% افرادی که در سال 2021 مورد بررسی قرار گرفتند، افزایش قابل توجهی داشته است.

تحقیقات GitLab نشان می‌دهد که با این وجود، افزایش تعداد گزینه‌ها برای توسعه، استقرار و ایمن‌سازی نرم‌افزار منجر به سردرگمی بیشتر شده است و تیم‌های DevOps را به دنبال ساده‌سازی خط لوله و مجموعه‌های ابزار خود کرده است. در حالی که 44 درصد از تیم های DevOps از دو تا پنج ابزار برای مدیریت فرآیند توسعه نرم افزار استفاده می کنند، 41 درصد از شش تا 10 ابزار استفاده می کنند.

GitLab در گزارش نظرسنجی اعلام کرد: «این ابزارهای زیادی است و 69 درصد از نظرسنجی‌کنندگان به ما گفتند که مایلند زنجیره‌های ابزار خود را یکپارچه کنند.

هوش مصنوعی و یادگیری ماشینی «در حال افزایش»

فناوری‌های هوش مصنوعی و یادگیری ماشینی در میان توسعه‌دهندگان و متخصصان امنیت برنامه‌ها مورد استقبال قرار گرفته‌اند. در حالی که AI/ML در انتهای لیست اولویت‌های شغلی آینده توسعه‌دهندگان قرار دارد، اکثر متخصصان امنیتی (54٪) گفتند که AI/ML بیشترین کمک را به آنها در آینده شغلی خواهد کرد. AI/ML به ویژه برای حوزه امنیتی مناسب است. برای مثال، سیستم‌های AI/ML را می‌توان برای شناسایی و پاسخ به تهدیدات، تولید هشدارها و راه‌اندازی مجموعه‌های قوانین آموزش داد.

اما هوش مصنوعی/ML با رادارهای توسعه دهندگان فاصله زیادی دارد. در واقع، استفاده از آن در حال افزایش است،” هانت می‌گوید: “این امر به ویژه در مورد شناسایی و دفاع در برابر حملات و عوامل مخرب مفید است، زیرا متخصصان امنیتی نمی‌توانند هر بسته و اتصالی را که از یک شبکه عبور می‌کند تماشا کنند.”

امنیت همچنان نقش بزرگتری در خط لوله توسعه نرم‌افزار ایفا می‌کند، به طوری که 57 درصد از شرکت‌ها مسئولیت امنیتی را به سمت چپ تغییر می‌دهند و توسعه‌دهندگان را مسئول بیشتری در قبال آسیب‌پذیری‌های کدشان می‌کنند. با این حال هنوز راه‌هایی در پیش است و تعداد قابل‌توجهی از توسعه‌دهندگان امنیت را به دلیل تاخیر و تقسیم مسئولیت امنیت نرم‌افزار سرزنش می‌کنند.

GitLab در این گزارش اظهار داشت: «در حالی که توسعه‌دهندگان و عملیات‌ها سهم بیشتری از مالکیت امنیت را به خود اختصاص می‌دهند، این موضوع در تیم sec چندان ساده نیست. در سال‌های 2020 و 2021، درصدی از متخصصان امنیتی که می‌گویند مسئولیت کامل امنیت را بر عهده دارند، تقریباً با کسانی که می‌گویند همه مسئول هستند یکسان بود.»