La sécurité dans DevOps est à la traîne malgré les avantages et les opportunités selon une nouvelle étude

20171108_synopsys_coverityfeat

La sécurité dans DevOps est à la traîne malgré les avantages et les opportunités, selon une nouvelle étude de 451 Research and Synopsys

Une enquête révèle que seulement la moitié des workflows CI / CD incluent des éléments de test de sécurité des applications

Singapour, @mcgallen #microwireinfo, 26 avril 2018 - Synopsys, Inc. (Nasdaq: SNPS) a publié aujourd'hui de nouvelles données mettant en évidence les opportunités et les défis auxquels les équipes DevOps des entreprises sont confrontées pour intégrer la sécurité des applications dans leurs flux de travail d'intégration continue et de livraison continue (CI / CD). Le rapport 451 Research commandé par Synopsys, DevSecOps Realities and Opportunities, analyse les résultats d'enquêtes auprès de 350 décideurs d'entreprise de grandes entreprises de divers secteurs. L'étude a révélé que seulement la moitié des flux de travail CI / CD incluaient des éléments de test de sécurité des applications, bien que les répondants aient mentionné l'importance et les avantages de le faire.

«Alors que certaines équipes DevOps commencent à intégrer la sécurité des applications dans leurs flux de travail CI / CD, en raison de facteurs tels que l'amélioration de la qualité des logiciels, de la conformité et de l'évitement des risques, il y a encore beaucoup à faire», a déclaré Jay Lyman, analyste principal DevOps chez 451 Recherche. «Dans de nombreux cas, les tests de sécurité ne sont pas intégrés souvent ou assez tôt dans le processus pour que les organisations puissent profiter pleinement de la réduction des risques et des maux de tête de reprise.»

Aujourd'hui, les équipes DevOps travaillent avec des infrastructures à grande échelle, publient des logiciels plus rapidement, et ce, avec des changements de code significatifs dans chaque version. Soixante-trois pour cent des répondants disent qu'ils prévoient de déployer des logiciels au moins quatre fois plus rapidement dans un modèle DevOps. Sans une stratégie claire et informée, cela peut rendre complexe et difficile l'établissement et le dimensionnement des tests de sécurité des applications au sein de ces processus.

Alors que les organisations ont cité le manque d'automatisation et de cohérence, la vitesse réduite et le bruit des faux positifs comme les principaux défis de DevSecOps, l'enquête a également montré que l'utilisation d'outils automatisés intégrés tôt dans le cycle de vie du développement logiciel peut avoir un impact positif sur à la fois la vitesse et la qualité globale et la sécurité des logiciels.

L'enquête a également révélé que l'analyse de la composition logicielle (SCA), ou l'identification des composants logiciels open source affectés par des vulnérabilités connues, est l'élément de sécurité d'application le plus critique qui doit être intégré dans les flux de travail CI / CD. Fait intéressant, l'enquête a également montré que près de 40% des organisations n'effectuent pas de SCA ou affirment ne pas utiliser de composants open source - ce qui peut représenter un manque de sensibilisation étant donné qu'un précédent Rapport d'analyse de la sécurité et des risques Open Source par Black Duck Software a constaté que plus de 95% des applications contiennent de l'open source.

«DevSecOps offre l'opportunité d'intégrer la sécurité des applications dans le tissu culturel et technologique des modèles de développement et de déploiement modernes et à grande vitesse», a déclaré Andreas Kuehlmann, directeur général du groupe Synopsys Software Integrity. «Cette étude met en évidence de nombreuses opportunités et défis auxquels l'équipe DevOps est confrontée pour adapter et appliquer les outils de sécurité des applications et les meilleures pratiques. Il confirme également que l'automatisation, la vitesse, la précision et l'intégration CI / CD, attributs que Synopsys a intégrés dans ses solutions de sécurité applicative, sont essentielles au succès de DevSecOps. »

Pour lire le rapport complet, visitez https://www.synopsys.com/software-integrity/resources/analyst-reports/examining-devops.html.

À propos du groupe d'intégrité logicielle de Synopsys
Synopsys Software Integrity Group aide les organisations à créer des logiciels sécurisés de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, un leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts dans le code propriétaire, les composants open source et le comportement des applications. Avec une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à maximiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur www.synopsys.com/software.

À propos de Synopsys
Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ pour les entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous comptons chaque jour. En tant que 15e plus grand éditeur de logiciels au monde, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et renforce également son leadership dans les solutions de sécurité et de qualité logicielles. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant des applications qui nécessitent la sécurité et la qualité les plus élevées, Synopsys a les solutions nécessaires pour fournir des produits innovants, de haute qualité et sécurisés. En savoir plus sur www.synopsys.com.

###