DevSecOps : 5 points saillants du rapport GitLab 2023
L’intelligence artificielle et l’approche DevSecOps du développement logiciel deviennent « indissociables ». Mais les tensions persistent, relève GitLab.
Comment évoluent le développement logiciel, la sécurité et les opérations associées ?
La question a été posée à plus de 5000 développeurs logiciels, ingénieurs et professionnels de la sécurité, dont 29% de femmes. Et ce dans le cadre du « Global DevSecOps Survey » 2023.
Voici 5 des principaux enseignements à retenir de ce rapport que livre la plateforme GitLab :
Les 5 points clés du rapport GitLab
1. IA et DevSecOps bientôt indissociables
L’intelligence artificielle (IA) et le développement couplé à la sécurité et aux opérations informatiques est désormais « incontournable » ou presque.
65% des développeurs interrogés disent utiliser en conscience ou le prévoir l’IA et l’apprentissage automatique (machine learning, ML) pour leurs tests de sécurité et les vérifications de code.
2. Sécurité sur l’ensemble de la chaîne
L’approche consiste à intégrer la sécurité dès les premières étapes du cycle de vie du développement applicatif, plutôt que dans les dernières étapes qui précèdent la mise en production. Elle progresse.
Ainsi, 74% des professionnels de la sécurité interrogés disent s’être engagés dans cette voie (celle du « shift left) ou prévoir de le faire. Par ailleurs, 71% (contre 53% l’an dernier) déclarent qu’un quart des vulnérabilités sont dorénavant identifiées par les développeurs.
3. Trop d’outils de cybersécurité ?
57% des professionnels de la sécurité déclarent utiliser six outils dédiés à la cybersécurité ou plus, contre 50% des professionnels en charge des opérations IT et 48% des développeurs.
Détection de composants logiciels vulnérables, notammentg open source, injection de données aléatoires et inattendues dans une application pour tester sa capacité à gérer les erreurs et l’imprévu… Le nombre d’outils augmentent et la fragmentation également, au risque de complexifier l’ensemble.
« Les professionnels de la sécurité utilisent un outil différent pour chaque fonction de sécurité, y compris l’analyse de la composition, le fuzzing, le DAST (Dynamic application security testing) et l’analyse des dépendances », a expliqué David DeSanto, CPO de GitLab.
🔒 Our 2023 Global #DevSecOps Survey findings show that a DevSecOps platform can help organizations boost security without sacrificing efficiency. https://t.co/mfm33uwKs1
— 🦊 GitLab (@gitlab) April 21, 2023
4. Des budgets contraints
85% des professionnels de la sécurité qui ont répondu à l’enquête disent disposer d’un budget identique ou inférieur à celui de 2022, a relevé David DeSanto.
L’heure est à la priorisation des investissements IT.
5. Le DevSecOps pour faire quoi ?
Une majorité des répondants (56%) déclarent que leur entreprise adopte une approche DevSecOps ou DevOps. Ils n’étaient que 43% à l’affirmer l’année précédente.
Qu’implique cette approche, selon eux ?
– Utiliser une plateforme DevOps (citée par 43% du panel)
– Intégrer la sécurité par défaut et les enjeux de conformité (37%)
– Opter pour l’intégration et le déploiement continus (CI/CD) (33%)
– Automatiser les tests (30%)
– Investir l’observabilité et le monitoring (28%)
Disposer des compétences associées est un autre enjeu de taille.
(crédit photo de une : Kevin Ku via Pexels )
