L’automatisaton de la sécurité progresse au sein d’organisations qui fusionnent développement agile et exploitation de logiciels (DevOps).
C’est l’un des enseignements d’une enquête (DevSecOps Community Survey 2019) menée auprès de 5558 développeurs et professionnels IT dans le monde. Sonatype (éditeur du gestionnaire de composants logiciels Nexus) est à l’initiative. L’éditeur a reçu le soutien de CloudBees, Signal Sciences, Twistlock et le SEI de l’Université Carnegie Mellon.
75% des répondants jugent « matures » (27%) ou avancées (48%) les pratiques DevOps de leur organisation. Aussi, 47% des développeurs déclarent déployer des modifications en production plusieurs fois par semaine.
Mais accélérer la fréquence de livraison n’est pas sans risque.
Ainsi, près d’un quart des organisations ont été confrontées à une violation d’un composant open source au cours des douze derniers mois.
Pour faire face, 62% des organisations les plus avancées en matière de DevOps ont mis en place une politique de gouvernance open source. Par ailleurs, une sur deux s’appuie sur l’automatisation de la sécurité pour identifier les vulnérabilités dans les conteneurs.
Ces taux chutent à 25% et 16%, respectivement, pour les retardataires du DevOps.
Pour les organisations DevOps les plus avancées, il ne s’agit pas uniquement de « bâtir des murs plus solides » pour freiner les cyberattaquants. Mais de « prendre des mesures pour intégrer et automatiser la sécurité tout au long du cycle de développement logiciel », a déclaré dans un billet de blog Derek Weeks, vice president de Sonatype.
Ainsi, 82% des pro-DevOps (59% des retardataires) optent pour des solutions d’audit et de suivi des changements effectués sur l’ensemble du cycle de développement logiciel.
Par ailleurs, 75% des pro-DevOps (contre 46%) utilisent le chiffrement pour l’ensemble de leurs informations d’identification. Enfin, plus de huit organisations pro-DevOps sur dix (contre 63%) ont un plan de réponse aux incidents de cybersécurité.
Les équipes DevOps veulent ainsi mieux gérer le risque. Il reste qu’un développeur sur deux estime ne pas avoir assez de temps à consacrer aux enjeux de sécurité.
(crédit photo © Shutterstock.com)
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…