Open Source, DevSecOps, Cloud-Native : trois prédictions pour 2020

Aujourd'hui, jusqu'à 90% du code d'une application trouve son origine dans des composants open source. Les développeurs continueront donc de s'appuyer sur le développement collaboratif afin de concevoir leur code, utilisant ainsi des centaines de milliers de nouvelles bibliothèques.

Le recours à ces bibliothèques n'est pas un problème en soi : en revanche, il est crucial que les entreprises puissent déterminer quelles bibliothèques sont utilisées, comment les applications peuvent être impactées et si l'équipe de développement peut réagir assez rapidement aux nouvelles vulnérabilités identifiées. En ce sens, les entreprises auront de plus en plus recours à des solutions spécifiques en vue d'aider à identifier et à éviter les vulnérabilités introduites via les bibliothèques open source.

En d'autres termes, les développeurs devront utiliser leurs composants de code avec davantage de minutie. Trouver de nouvelles façons de surveiller, suivre et gérer les composants open source dans le code sera l'une des activités déterminantes auxquelles les développeurs devront, chacun, participer pour garantir la sécurité des logiciels.

En 2020, les technologies « Cloud Native » deviendront de facto le choix des équipes de développement. Dans cette perspective, les développeurs n'auront donc que l'embarras du choix lors de la conception et la création d'applications logicielles.

La vision du logiciel en tant que construction monolithique est aujourd'hui désuète, et considérée comme un anti-modèle pour la stabilité et la vitesse du développement. En effet, de manière écrasante, les développeurs choisissent désormais des architectures qui permettent aux défaillances de se produire dans une partie du système, sans impacter le reste de l'écosystème. Les technologies Cloud Native permettent ainsi aux développeurs de travailler bien plus rapidement et efficacement.

Néanmoins, le Cloud Native pose un problème de sécurité. Une enquête de 2019 a en effet révélé que 35% des interrogés ne comprenaient pas comment traiter les vecteurs d'attaque spécifiquement liés aux applications Cloud Native. Pis, 33% ont admis que leurs équipes de développement n'impliquent pas d'experts en cybersécurité, de peur d'être ralentis.

En 2019, on a pu observer comment les pratiques DevSecOps avaient permis, entre autres, d'identifier les principaux challenges auxquels les entreprises sont confrontées. L'un des défis prépondérants étant l'optimisation du temps de mise sur le marché. En effet, s'agissant de la sécurité applicative, elle doit conjuguer maintien de la vitesse de développement avec garantie de la sécurité du code. Les entreprises doivent également forger une culture de collaboration entre les équipes de sécurité et de développement.
En 2020, le DevSecOps finira par s'imposer comme la norme utilisée par la plupart des entreprises pour améliorer le développement de logiciels sécurisés.

Au sein des entreprises, les équipes de développement sont de plus en plus enclines à intégrer la sécurité plus tôt dans le cycle de vie du développement logiciel. Réciproquement, les équipes de sécurité s'engagent plus activement du côté du développement, de sorte que les frictions entre les deux activités sont moins présentes que par le passé. Ainsi, en 2020, les entreprises envisageront le DevSecOps comme un moyen incontournable de résoudre les complexités de la gestion et de la sécurisation des applications Cloud Native.

Le dernier rapport sur l'état de la sécurité des logiciels (SoSS, Vol.10) a révélé que la correction des vulnérabilités faisait désormais autant partie du processus de développement que l'amélioration des fonctionnalités du logiciel. Cela suggère que les développeurs modifient, peu à peu, leur mentalité pour considérer la sécurité de leur code comme égale à d'autres mesures de valeur. Autant de raisons en faveur du DevSecOps en 2020.

Nabil Bousselham, Architecte de solutions informatiques - Veracode.