Catégories
Start-up et applications

Rapport: 73% des développeurs sacrifient la sécurité au profit de la vitesse

https://sdtimes.com/ "srcset =" https://sdtimes.com/wp-content/uploads/2020/10/Screen-Shot-2020-10-05-at-1.24.52-PM-490x331. png 490w, https://sdtimes.com/wp-content/uploads/2020/10/Screen-Shot-2020-10-05-at-1.24.52-PM-300x203.png 300w, https: // sdtimes. com / wp-content / uploads / 2020/10 / Screen-Shot-2020-10-05-at-1.24.52-PM-1024x692.png 1024w, https://sdtimes.com/wp-content/uploads/2020 /10/Screen-Shot-2020-10-05-at-1.24.52-PM-150x101.png 150w, https://sdtimes.com/wp-content/uploads/2020/10/Screen-Shot-2020- 10-05-à-1.24.52-PM-768x519.png 768w, https://sdtimes.com/wp-content/uploads/2020/10/Screen-Shot-2020-10-05-at-1.24.52 -PM-1536x1038.png 1536w, https://sdtimes.com/wp-content/uploads/2020/10/Screen-Shot-2020-10-05-at-1.24.52-PM-118x80.png 118w, https : //sdtimes.com/wp-content/uploads/2020/10/Screen-Shot-2020-10-05-at-1.24.52-PM-400x270.png 400w, https://sdtimes.com/wp- content / uploads / 2020/10 / Screen-Shot-2020-10-05-at-1.24.52-PM-266x180.png 266w, https://sdtimes.com/wp-content/uploads/2020/10/S creen-Shot-2020-10-05-à-1.24.52-PM-74x50.png 74w, https://sdtimes.com/wp-content/uploads/2020/10/Screen-Shot-2020-10-05 -at-1.24.52-PM.png 1968w "tailles =" (largeur max: 490px) 100vw, 490px "/>

<p><span style=Une majorité de développeurs se sentent obligés de sacrifier la sécurité pour la vitesse qu'exigent les cycles de développement actuels. Un rapport récent de WhiteSource a révélé que 73% des équipes de sécurité dans les organisations sont obligées de couper les coins ronds, et les outils AppSec qu'ils utilisent doivent cocher la case pour améliorer DevSecOps et ne sont pas utilisés efficacement.

«La prolifération des outils automatisés tout au long du pipeline DevSecOps présente de nombreux avantages. Cependant, les gérer et les orchestrer tous est également devenu un processus en soi, qui peut prendre beaucoup de temps, et également créer de nouvelles frictions entre les équipes à l'aide de différents outils », David Habusha, vice-président produit chez WhiteSource, a déclaré SD Times.

Selon le rapport, les outils d'une organisation sont parfois choisis sans beaucoup de contribution des développeurs et peuvent devenir difficiles à adapter et à intégrer dans leurs flux de travail. En fait, la facilité d'intégration a été considérée comme la fonctionnalité la plus importante d'une solution AppSec par les développeurs. Il existe également une certaine déconnexion entre les équipes de sécurité et les développeurs sur les fonctionnalités les plus importantes d'une solution AppSec.

L'adoption par les développeurs a reçu une très faible priorité de la part des professionnels de la sécurité, tandis que les besoins de sécurité tels que la détection et la facilité de mise en œuvre ont été prioritaires dans leurs considérations.

L'une des façons dont le rapport suggère de combler ce fossé consiste à créer un champion AppSec qui aide les équipes à développer les bonnes compétences, les bonnes méthodes de hiérarchisation et une communication efficace. Environ 40 à 60% des organisations ont déclaré avoir un champion AppSec, ce qui peut presque doubler les chances de parvenir à un accord par un processus standardisé, selon le rapport.

L'adoption d'AppSec étant encore relativement récente dans de nombreuses organisations, il existe toujours un déficit important de connaissances et de compétences AppSec qui est négligé par les organisations, selon le rapport WhiteSource DevSecOps Insights.

Étant donné que les équipes doivent traiter une liste croissante d'alertes de sécurité urgentes avec ces nouveaux outils, la hiérarchisation des problèmes de sécurité qui doivent être résolus en premier devient plus importante.

«Déterminer ce qu'il faut corriger en premier, ou comment prioriser, est devenu une tâche fastidieuse et souvent litigieuse qui pourrait retarder la résolution rapide des problèmes les plus critiques et les plus urgents», a ajouté Habusha.

Soixante pour cent des professionnels de la sécurité ont déclaré avoir mis en place un programme AppSec depuis au moins un an, et seuls 37% des développeurs interrogés ont déclaré qu'ils n'étaient pas au courant d'un programme AppSec fonctionnant depuis plus d'un an au sein de leur organisation. De plus, 60% des développeurs ont déclaré ne pas avoir de formation sur le code sécurisé.

«L'amélioration des compétences AppSec des développeurs est un investissement aussi important que l'achat d'outils AppSec. Il stimule les pratiques de décalage à gauche et aide à combler le fossé entre les équipes de sécurité et de développement », indique le rapport.

Le rapport a conclu qu'il existe une corrélation claire entre le niveau de maturité perçu et une utilisation plus élevée des outils AppSec. DAST, SCA, IAST, conteneurs et RASP se sont avérés être utilisés au moins deux fois plus dans les organisations matures que dans les organisations immatures.

Les deux principales raisons d'acheter de nouveaux outils de sécurité des applications étaient le respect des réglementations spécifiques à l'industrie, à 25%, et la conformité aux normes de l'industrie, à 22%.

«Alors que la plupart des problèmes que nous considérons comme des défis aujourd'hui sont en passe d'être résolus, DevSecOps est un écosystème passionnant en constante évolution. Alors que la maturité DevSecOps est imminente pour de nombreuses organisations et qu'elle peut devenir omniprésente pour elles, il y aura toujours de nouveaux défis à relever lorsqu'il s'agit de faire face aux risques de sécurité et d'assurer un pipeline DevSecOps agile », a déclaré Habusha. «Les organisations qui investissent dans l'établissement d'une culture de communication ouverte, de responsabilité partagée et d'automatisation continue de la qualité et de la sécurité tout au long du pipeline DevSecOps seront celles qui seront en mesure de faire face à ces défis.»

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *