DevSecOps guadagna terreno, ma la sicurezza è ancora in ritardo

Gli sviluppatori di software e i team operativi continuano ad adottare DevOps e altre metodologie agili, nonché servizi di automazione e low-code, ma continuano a lottare con la sicurezza, le ricadute della pandemia di COVID-19 e la carenza di addetti alla sicurezza qualificati, secondo un sondaggio annuale appena pubblicato da GitLab.

DevSecOps si traduce in una migliore qualità del codice, una maggiore produttività degli sviluppatori e una migliore efficienza operativa, secondo il sondaggio di oltre 5,000 sviluppatori software, specialisti operativi e professionisti della sicurezza delle applicazioni. Tuttavia, la sicurezza è ancora un problema. Mentre più della metà (57%) degli intervistati considerava la sicurezza una metrica delle prestazioni, quasi lo stesso numero ha affermato che era "difficile convincere gli sviluppatori a dare effettivamente la priorità alla correzione delle vulnerabilità del codice".

Il sondaggio condotto dal provider di toolchain sottolinea che tutti i partecipanti al processo di sviluppo e distribuzione devono ancora migliorare le comunicazioni e le relazioni tra i gruppi, afferma Johnathan Hunt, vicepresidente della sicurezza delle informazioni e della sicurezza informatica di GitLab.

"Convincere gli sviluppatori e i professionisti della sicurezza a collaborare meglio richiede un approccio allo sviluppo del software incentrato sulla cultura attraverso la creazione di una cultura DevOps", afferma Hunt. "Una piattaforma DevOps si presta bene a questo approccio garantendo alle organizzazioni una collaborazione senza interruzioni tra i team DevSecOps, proprietà condivisa di sicurezza e conformità e usi strategici di tecnologie come automazione e AI/ML".

Mescolare e abbinare

I sondaggio trovato che non esiste un unico approccio dominante allo sviluppo del software e la maggior parte dei team utilizza un mix di approcci. Mentre la maggior parte dei team di sviluppo (47%) utilizzava DevOps e DevSecOps, anche altri approcci agili rappresentavano quote significative: il 34% dei team utilizzava Scrum, il 24% utilizzava Kanban e il 29% utilizzava metodologie Lean. I team hanno persino ampliato l'uso dello sviluppo di Waterfall, con più di un quarto (26%) che ha adottato tale approccio.

"I team DevOps non si limitano a nessun modo di lavorare", afferma Hunt. "Sono flessibili e disposti ad adattare i loro approcci per soddisfare le varie esigenze aziendali e di progetto".

L'aumento degli approcci agili allo sviluppo e all'implementazione del software ha portato a un'implementazione più rapida del software. Sette intervistati su 10 hanno affermato che i loro team si implementano almeno una volta ogni pochi giorni o più frequentemente, un salto di 11 punti rispetto al 2021. L'integrazione di test automatizzati, distribuzione e controlli di sicurezza nella pipeline di sviluppo è un fattore chiave per accelerare la distribuzione delle applicazioni, con quasi la metà (47%) dei team che afferma che i propri test sono completamente automatizzati oggi, rispetto al 25% nel 2021.

L'adozione di API low-code e no-code per lo sviluppo ha anche reso i team più efficienti. Due terzi (66%) dei partecipanti al sondaggio utilizza almeno uno strumento low-code o no-code nella propria pratica DevOps, un aumento significativo rispetto al 25% degli intervistati nel 2021.

Tuttavia, lo studio di GitLab ha rilevato che il numero crescente di opzioni per lo sviluppo, l'implementazione e la protezione del software ha portato a una maggiore confusione, portando i team DevOps a cercare di semplificare la pipeline e i set di strumenti. Mentre il 44% dei team DevOps utilizza da due a cinque strumenti per gestire il processo di sviluppo del software, il 41% utilizza da sei a 10 strumenti.

"Sono molti strumenti e il 69% dei partecipanti al sondaggio ci ha detto che vorrebbe consolidare le proprie toolchain", ha affermato GitLab nel rapporto del sondaggio.

Intelligenza artificiale e apprendimento automatico in aumento

L'intelligenza artificiale e le tecnologie di apprendimento automatico hanno visto un'adozione mista tra sviluppatori e specialisti della sicurezza delle applicazioni. Sebbene l'IA/ML sia in fondo all'elenco delle priorità per le future carriere degli sviluppatori, la maggior parte dei professionisti della sicurezza (54%) ha affermato che l'IA/ML li aiuterà maggiormente nelle loro future carriere. AI/ML è particolarmente adatto al dominio della sicurezza. Ad esempio, i sistemi AI/ML possono essere addestrati per rilevare e rispondere alle minacce, generare avvisi e attivare set di regole.

“Ma AI/ML è ben lungi dall'essere fuori dai radar degli sviluppatori. In effetti, il suo utilizzo è in aumento", afferma Hunt, aggiungendo: "Ciò è particolarmente utile quando si tratta di rilevare e difendersi da attacchi e attori malintenzionati, poiché i professionisti della sicurezza non possono controllare ogni pacchetto e connessione che attraversa una rete".

La sicurezza continua ad avere un ruolo più importante nella pipeline di sviluppo del software, con il 57% delle aziende che sposta la responsabilità della sicurezza "a sinistra" e rende gli sviluppatori più responsabili delle vulnerabilità nel loro codice. Eppure c'è ancora molta strada da fare, con un numero significativo di sviluppatori che incolpa la sicurezza per i ritardi e la divisione delle responsabilità per la sicurezza del software molto in continuo mutamento.

"Mentre gli sviluppatori e le operazioni stanno assumendo una quota maggiore della proprietà della sicurezza, non è così semplice per il team sec", ha affermato GitLab nel rapporto. "Nel 2020 e nel 2021, la percentuale di professionisti della sicurezza che hanno affermato di essere pienamente responsabili della sicurezza era più o meno la stessa di coloro che hanno affermato che tutti erano responsabili".