Firma PuppetLabs wraz z partnerami opublikowała raport dotyczącego stanu DevOps na rok 2019.

Firmy, które mają zintegrowane zabezpieczenia w całym cyklu życia oprogramowania, znacznie częściej korzystają z praktyk DevOps w całym przedsiębiorstwie. W przypadku tych firm DevOps wykroczył poza wczesne lokalne optymalizacje, takie jak zespoły programistów przyjmujące kontrolę wersji i ciągłą integrację (CI) oraz zespoły infrastruktury testujące infrastrukturę wraz z kodem aplikacji. Praktyki DevOps wpływają teraz na sam biznes.

Autorzy stwierdzili, że 22% firm na najwyższym poziomie integracji bezpieczeństwa osiągnęło zaawansowany etap ewolucji DevOps. Zasady DevOps, które zapewniają dobre wyniki w zakresie rozwoju oprogramowania – kultura, automatyzacja, pomiary i częste udostępnianie produktów – są tymi samymi zasadami, które zapewniają dobre wyniki w zakresie bezpieczeństwa. Niezawodność, przewidywalność, mierzalność i obserwowalność we wdrożeniach tworzą nie tylko wewnętrznie bezpieczniejsze środowiska, ale także, w połączeniu z silną praktyką automatyzacji, umożliwiają szybkość reakcji na pojawiające się problemy z bezpieczeństwem.

Silna kultura DevOps wspiera także większe bezpieczeństwo. Kultura udostępniania, w której zespoły współpracują przy użyciu wspólnych narzędzi i dążą do osiągnięcia wspólnych celów; gdzie zespoły dostawcze mają silną autonomię, a jednak wykonywanie zadań jest stosunkowo łatwe – jest to kultura, w której bezpieczeństwo może być naprawdę wspólną odpowiedzialnością, w której problemy można wcześnie zidentyfikować i rozwiązać w najlepszy możliwy sposób.

Głębokie zintegrowanie bezpieczeństwa z cyklem życia oprogramowania (SDLC) zapewnia zespołom ponad dwa razy większą pewność co do ich bezpieczeństwa

82% respondentów ankiet w firmach o najwyższym poziomie integracji bezpieczeństwa stwierdziło, że ich polityka bezpieczeństwa i praktyki znacznie poprawiają stan bezpieczeństwa firmy. Porównaj to z respondentami w firmach z integracją bezpieczeństwa – tylko 38 procent miało taki poziom zaufania.

Integracja bezpieczeństwa na każdym etapie cyklu życia oprogramowania to coś więcej niż przesunięcie kontroli bezpieczeństwa. Integracja bezpieczeństwa wymaga zupełnie innego podejścia, które kładzie nacisk na współpracę między zespołami i umożliwia zespołom dostarczającym samodzielne zapobieganie problemom bezpieczeństwa, wykrywanie ich i naprawianie. Podział silosów wiedzy między zespołami i współpraca w celu poprawy bezpieczeństwa zwiększają ogólną świadomość problemów związanych z bezpieczeństwem, zwiększając prawdopodobieństwo, że wszyscy – nawet ci spoza zespołu ds. Bezpieczeństwa – przyjmą znane wzorce ochrony bezpieczeństwa.

Integracja bezpieczeństwa w całym cyklu życia oprogramowania prowadzi do pozytywnych rezultatów

Autorzy raportu ponowili hipotezę, że firmy na najwyższym poziomie integracji bezpieczeństwa są w stanie częściej wdrażać, szybciej usuwać luki i mają bardziej pozytywne nastawienie do bezpieczeństwa i audytów. Odkryto, że:

  • Firmy na najwyższym poziomie integracji bezpieczeństwa są w stanie wdrażać produkcję na żądanie (ang. release on demand) w znacznie szybszym tempie niż firmy na wszystkich innych poziomach integracji – 61% może to zrobić. Porównując to z organizacjami, które w ogóle nie zintegrowały zabezpieczeń: mniej niż połowa (49 procent) może wdrożyć na żądanie.
  • Ku zdziwieniu autorów, czas na usunięcie luk w zabezpieczeniach nie zwiększył się dramatycznie na wyższych poziomach integracji zabezpieczeń, choć różnica
    znaczący jest między najwyższym poziomem integracji a niższymi poziomami.
  • Firmy z głębszą integracją bezpieczeństwa były w stanie skuteczniej nadać priorytet poprawom bezpieczeństwa niż dostarczanie nowych funkcjonalności, a także były w stanie szybko wrażać zmiany na produkcję w celu rozwiązania problemów bezpieczeństwa.

Im więcej zabezpieczeń jest zintegrowanych z cyklem życia oprogramowania, tym więcej zespołów dostarczających postrzega bezpieczeństwo jako wspólną odpowiedzialność. Wraz ze wzrostem integracji wzrasta również postrzeganie przez audyty minimalizacji ryzyka dla firmy. W organizacjach o wysokim poziomie integracji bezpieczeństwa zidentyfikowane problemy bezpieczeństwa są traktowane priorytetowo przez firmę.

W organizacji o wysokim poziomie integracji bezpieczeństwa, naturalnie zidentyfikowane problemy bezpieczeństwa są traktowane priorytetowo przez firmę.

Zapraszamy do zapoznania się z raportem.

Miroslaw Dabrowski

Miroslaw Dabrowski

Ex-Marine in IT. Entrepreneur, Investor, Enterprise-Lean Agile Coach, Mentor, Consultant, Trainer, Speaker. Lifelong learner.

Subscribe To Our Newsletter

Subscribe To Our Newsletter

Join our mailing list to receive the latest news and updates from our team.

GDPR EN

You have Successfully Subscribed!

X