Comment évoluent le développement logiciel, la sécurité et les opérations associées ?
La question a été posée à plus de 5000 développeurs logiciels, ingénieurs et professionnels de la sécurité, dont 29% de femmes. Et ce dans le cadre du « Global DevSecOps Survey » 2023.
Voici 5 des principaux enseignements à retenir de ce rapport que livre la plateforme GitLab :
1. IA et DevSecOps bientôt indissociables
L’intelligence artificielle (IA) et le développement couplé à la sécurité et aux opérations informatiques est désormais « incontournable » ou presque.
65% des développeurs interrogés disent utiliser en conscience ou le prévoir l’IA et l’apprentissage automatique (machine learning, ML) pour leurs tests de sécurité et les vérifications de code.
2. Sécurité sur l’ensemble de la chaîne
L’approche consiste à intégrer la sécurité dès les premières étapes du cycle de vie du développement applicatif, plutôt que dans les dernières étapes qui précèdent la mise en production. Elle progresse.
Ainsi, 74% des professionnels de la sécurité interrogés disent s’être engagés dans cette voie (celle du « shift left) ou prévoir de le faire. Par ailleurs, 71% (contre 53% l’an dernier) déclarent qu’un quart des vulnérabilités sont dorénavant identifiées par les développeurs.
3. Trop d’outils de cybersécurité ?
57% des professionnels de la sécurité déclarent utiliser six outils dédiés à la cybersécurité ou plus, contre 50% des professionnels en charge des opérations IT et 48% des développeurs.
Détection de composants logiciels vulnérables, notammentg open source, injection de données aléatoires et inattendues dans une application pour tester sa capacité à gérer les erreurs et l’imprévu… Le nombre d’outils augmentent et la fragmentation également, au risque de complexifier l’ensemble.
« Les professionnels de la sécurité utilisent un outil différent pour chaque fonction de sécurité, y compris l’analyse de la composition, le fuzzing, le DAST (Dynamic application security testing) et l’analyse des dépendances », a expliqué David DeSanto, CPO de GitLab.
4. Des budgets contraints
85% des professionnels de la sécurité qui ont répondu à l’enquête disent disposer d’un budget identique ou inférieur à celui de 2022, a relevé David DeSanto.
L’heure est à la priorisation des investissements IT.
5. Le DevSecOps pour faire quoi ?
Une majorité des répondants (56%) déclarent que leur entreprise adopte une approche DevSecOps ou DevOps. Ils n’étaient que 43% à l’affirmer l’année précédente.
Qu’implique cette approche, selon eux ?
– Utiliser une plateforme DevOps (citée par 43% du panel)
– Intégrer la sécurité par défaut et les enjeux de conformité (37%)
– Opter pour l’intégration et le déploiement continus (CI/CD) (33%)
– Automatiser les tests (30%)
– Investir l’observabilité et le monitoring (28%)
Disposer des compétences associées est un autre enjeu de taille.
(crédit photo de une : Kevin Ku via Pexels )
Le Conseil d’Administration de l’Association des Utilisateurs SAP Francophones ( USF) a réélu Gianmaria Perancin…
Le secteur du transport aérien utilise des algorithmes depuis des années. Mais cette chasse gardée…
Une option de traitement par lots est arrivée sur l'API OpenAI. Voici quelques clés de…
De la migration vers VCD aux engagements pour les clients SecNumCloud, OVHcloud esquisse le devenir…
OpenAI ouvre son premier bureau en Asie à Tokyo. Quelques jours après l'annonce d'un investissement…
Après 500 millions de tokens traités avec GPT-3.5 Turbo et GPT-4 via l'API OpenAI, une…