Le mouvement DevOps se caractérise principalement par la promotion de l'automation et du suivi (monitoring) de toutes les étapes de la création d'un logiciel, depuis le développement, l'intégration, les tests, la livraison jusqu'au déploiement, l'exploitation et la maintenance des infrastructures. Les principes DevOps soutiennent des cycles de développement plus courts, une augmentation de la fréquence des déploiements et des livraisons continues, pour une meilleure atteinte des objectifs économiques de l'entreprise. Depuis l'avènement du cloud la sécurité est devenue également un sujet majeur, on voit désormais aussi apparaître le terme de DevSecOps pour placer la sécurité informatique au cœur des évolutions des opérations.
WhiteSource, une entreprise spécialisée dans la sécurité des logiciels libres et de la gestion de la conformité des licences, a publié hier les conclusions de son rapport DevSecOps Insights, qui vise à mieux comprendre le niveau de maturité des DevSecOps au sein des organisations. 20 % des répondants ont décrit les pratiques DevSecOps de leur organisation comme étant "matures", tandis que 62 % ont déclaré qu'elles amélioraient les pratiques et 18 % comme étant "immatures". L'enquête a recueilli les réponses de plus de 560 développeurs et professionnels de la sécurité des applications en Amérique du Nord et en Europe occidentale sur l'état de la mise en œuvre de DevSecOps au sein de leurs organisations.
Le rapport contient d'autres informations importantes :
- afin de respecter les cycles de déploiement courts, 73 % des professionnels de la sécurité et des développeurs se sentent obligés de faire des compromis en matière de sécurité ;
- les outils AppSec sont achetés pour "cocher la case", sans tenir compte des besoins et des processus des développeurs, ce qui fait que les outils sont achetés, mais non utilisés ;
- les développeurs n'utilisent pas pleinement les outils achetés par l'équipe de sécurité. Plus une organisation est mature en termes de pratiques DevSecOps, plus elle utilise les outils AppSec ;
- il existe un important problème de "déficit de connaissances et de compétences" de l'AppSec qui est largement négligé par les organisations ;
- alors que 60 % des professionnels de la sécurité déclarent avoir un programme AppSec en place depuis au moins un an, seuls 37 % des développeurs interrogés ont déclaré ne pas avoir connaissance d'un programme AppSec fonctionnant depuis plus d'un an au sein de leur organisation ;
- le principal défi des professionnels de la sécurité est la définition des priorités, mais les organisations ne disposent pas de processus normalisés pour rationaliser la définition des priorités en matière de vulnérabilité.
« Les résultats de l'enquête montrent que si la plupart des professionnels de la sécurité et des développeurs pensent que leurs organisations sont en train d'adopter DevSecOps, la plupart des organisations ont encore du chemin à parcourir, en particulier lorsqu'il s'agit de faire tomber les cloisonnements qui séparent le développement des équipes de sécurité. La pleine maturité de DevSecOps exige des organisations qu'elles mettent en œuvre DevSecOps dans tous les domaines. Les processus, les outils et la culture doivent évoluer afin de briser les silos traditionnels et de garantir que toutes les équipes partagent la propriété de la sécurité et de l'agilité », a déclaré Rami Sass, PDG et cofondateur de WhiteSource.
Parallèlement, les conclusions du septième sondage annuel de la communauté DevSecOps auprès de Sonatype publié en avril indiquent qu’il existe une corrélation entre le niveau de maturité des pratiques DevOps et la satisfaction au travail des développeurs. Les développeurs travaillant dans des entreprises avec des pratiques DevOps matures étant 1,5 fois plus susceptibles d'apprécier leur travail. Ce même sondage montre également que ceux qui ont des pratiques DevOps matures sont 1,6 fois plus susceptibles de recommander leur employeur à des demandeurs d’emploi, ce qui serait plutôt intéressant dans le contexte. Les résultats de ces deux rapports mis côte à côte, on pourrait être amenés à se demander si le confort octroyé par cette satisfaction au travail n’est pas une explication au fait que les professionnels de la sécurité et des développeurs sacrifient la sécurité pour la vitesse.
Source : WhiteSource
Et vous ?
Que pensez-vous des résultats ce rapport ? Les trouvez-vous objectifs ?
Quels sont les éléments qui pourraient contribuer à vous rendre performants au travail en tant que professionnels de l'informatique ?
Voir aussi :
Les équipes ayant des pratiques DevOps matures sont 3 fois plus susceptibles de repérer les vulnérabilités plus tôt, selon une enquête de GitLab
Les cinq étapes de l'évolution DevOps identifiées par le state of devops 2018, présentées par Puppet et Splunk
Azure DevOps : Microsoft annonce le successeur de Visual Studio Team Services et un service d'intégration et déploiement continus intégrés à GitHub
Le « DevOps » et le développeur « FullStack » mettraient en danger le métier de développeur le constat inquiétant de Jeff Knupp