L’automatisaton de la sécurité progresse au sein d’organisations qui fusionnent développement agile et exploitation de logiciels (DevOps).
C’est l’un des enseignements d’une enquête (DevSecOps Community Survey 2019) menée auprès de 5558 développeurs et professionnels IT dans le monde. Sonatype (éditeur du gestionnaire de composants logiciels Nexus) est à l’initiative. L’éditeur a reçu le soutien de CloudBees, Signal Sciences, Twistlock et le SEI de l’Université Carnegie Mellon.
75% des répondants jugent « matures » (27%) ou avancées (48%) les pratiques DevOps de leur organisation. Aussi, 47% des développeurs déclarent déployer des modifications en production plusieurs fois par semaine.
Mais accélérer la fréquence de livraison n’est pas sans risque.
Ainsi, près d’un quart des organisations ont été confrontées à une violation d’un composant open source au cours des douze derniers mois.
Pour faire face, 62% des organisations les plus avancées en matière de DevOps ont mis en place une politique de gouvernance open source. Par ailleurs, une sur deux s’appuie sur l’automatisation de la sécurité pour identifier les vulnérabilités dans les conteneurs.
Ces taux chutent à 25% et 16%, respectivement, pour les retardataires du DevOps.
Pour les organisations DevOps les plus avancées, il ne s’agit pas uniquement de « bâtir des murs plus solides » pour freiner les cyberattaquants. Mais de « prendre des mesures pour intégrer et automatiser la sécurité tout au long du cycle de développement logiciel », a déclaré dans un billet de blog Derek Weeks, vice president de Sonatype.
Ainsi, 82% des pro-DevOps (59% des retardataires) optent pour des solutions d’audit et de suivi des changements effectués sur l’ensemble du cycle de développement logiciel.
Par ailleurs, 75% des pro-DevOps (contre 46%) utilisent le chiffrement pour l’ensemble de leurs informations d’identification. Enfin, plus de huit organisations pro-DevOps sur dix (contre 63%) ont un plan de réponse aux incidents de cybersécurité.
Les équipes DevOps veulent ainsi mieux gérer le risque. Il reste qu’un développeur sur deux estime ne pas avoir assez de temps à consacrer aux enjeux de sécurité.
(crédit photo © Shutterstock.com)
En parallèle de diverses expérimentations, Microsoft livre une première version de WSL2 basée sur Linux…
Le dernier rapport environnemental de Google comporte peu d'indicateurs spécifiques à l'IA. Quelles perspectives l'entreprise…
Booster les performances des forces de vente en fondant les processus commerciaux sur ce que…
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…