DevOps : l'automatisation de la sécurité monte en puissance
L'automatisaton de la sécurité progresse au sein d'organisations qui fusionnent développement agile et exploitation de logiciels (DevOps).
C'est l'un des enseignements d'une enquête (DevSecOps Community Survey 2019) menée auprès de 5558 développeurs et professionnels IT dans le monde. Sonatype (éditeur du gestionnaire de composants logiciels Nexus) est à l'initiative. L'éditeur a reçu le soutien de CloudBees, Signal Sciences, Twistlock et le SEI de l'Université Carnegie Mellon.
75% des répondants jugent « matures » (27%) ou avancées (48%) les pratiques DevOps de leur organisation. Aussi, 47% des développeurs déclarent déployer des modifications en production plusieurs fois par semaine.
Mais accélérer la fréquence de livraison n'est pas sans risque.
Ainsi, près d'un quart des organisations ont été confrontées à une violation d'un composant open source au cours des douze derniers mois.
Pour faire face, 62% des organisations les plus avancées en matière de DevOps ont mis en place une politique de gouvernance open source. Par ailleurs, une sur deux s'appuie sur l'automatisation de la sécurité pour identifier les vulnérabilités dans les conteneurs.
Ces taux chutent à 25% et 16%, respectivement, pour les retardataires du DevOps.
Programmer, opérer, sécuriser
Pour les organisations DevOps les plus avancées, il ne s'agit pas uniquement de « bâtir des murs plus solides » pour freiner les cyberattaquants. Mais de « prendre des mesures pour intégrer et automatiser la sécurité tout au long du cycle de développement logiciel », a déclaré dans un billet de blog Derek Weeks, vice president de Sonatype.
Ainsi, 82% des pro-DevOps (59% des retardataires) optent pour des solutions d'audit et de suivi des changements effectués sur l'ensemble du cycle de développement logiciel.
Par ailleurs, 75% des pro-DevOps (contre 46%) utilisent le chiffrement pour l'ensemble de leurs informations d'identification. Enfin, plus de huit organisations pro-DevOps sur dix (contre 63%) ont un plan de réponse aux incidents de cybersécurité.
Les équipes DevOps veulent ainsi mieux gérer le risque. Il reste qu'un développeur sur deux estime ne pas avoir assez de temps à consacrer aux enjeux de sécurité.
(crédit photo © Shutterstock.com)
Sur le même thème
Voir tous les articles Cybersécurité