Dans une nouvelle enquête menée auprès de plus de 165 développeurs, professionnels de la sécurité des applications et du DevOps, ShiftLeft a constaté que 96 % des développeurs estiment que la déconnexion entre les flux de travail des développeurs et de la sécurité inhibe la productivité des développeurs. En outre, lorsqu'on leur a demandé de définir des priorités, les professionnels de la sécurité des applications ont classé la création de flux de travail de sécurité adaptés aux développeurs comme leur priorité absolue, ce, devant la protection des applications dans les environnements de production.
« La réduction des priorités de la sécurité a été l'approche la plus courante pour équilibrer la sécurité des applications et la productivité des développeurs, car l'automatisation de la sécurité dans les flux de travail des développeurs a toujours été d'un coût prohibitif pour toutes les organisations de sécurité, sauf les plus élites. Le NextGen Static Analysis de ShiftLeft combine la vitesse de balayage, la précision et un flux de travail transparent à la pointe de l'industrie ; le tout pour une collaboration rapide entre les équipes de développement et les équipes de la Sécurité des applications afin que les organisations de toutes tailles puissent mener leurs initiatives au rythme du développement logiciel », a déclaré Izak Mutlu, ancien vice-président de la sécurité de l'information chez Salesforce.com.
L’amplification du télétravail de façon permanente a accru le volume d'affaires réalisées en ligne, augmentant ainsi le nombre de propriétés et d'applications web qui doivent être développées. Comme les organisations exigent que les logiciels soient construits et livrés à une vitesse toujours plus grande, il est essentiel d'améliorer la productivité des développeurs tout en renforçant la sécurité. L'enquête a révélé que le fait d'effectuer des analyses de sécurité trop tard dans le cycle de vie du développement logiciel (89,7 %) et le manque de conseils en matière de remédiation (87,7 %) sont également des obstacles importants à la productivité des développeurs.
Pour renforcer la sécurité et relever les défis de la productivité des développeurs, la nouvelle version NextGen Static Analysis de ShiftLeft propose des flux de travail holistiques avec comme premier principe l'engagement et la productivité des développeurs. Le nouveau déroulement des opérations de sécurité axé sur les développeurs repose sur le processus basé sur Git que les développeurs utilisent déjà pour écrire et mettre à jour le code. Cela permet aux organisations de :
- fournir un retour d'information immédiat et précis sur la sécurité directement à chaque développeur qui apporte le changement ;
- automatiser l'analyse des codes à chaque demande de retrait/fusion ;
- permettre aux développeurs de corriger les vulnérabilités, de la même manière qu'ils corrigent les bogues, sans quitter leur environnement de développement ;
- permettre aux équipes de la sécurité des applications d'écrire des règles de construction axées sur la sécurité qui acceptent ou refusent les fusions, permettant ainsi à la sécurité des applications d'évoluer ;
- aider les développeurs à adopter les meilleures pratiques de codage sécurisé grâce à Security Insights ;
- éliminer les goulots d'étranglement en matière de numérisation grâce à des numérisations simultanées illimitées ;
- protéger la propriété intellectuelle en scannant sans prendre le code source en dehors de leur organisation ;
- se déployer rapidement grâce à l'embarquement en libre-service qui ne nécessite pas de mises à jour de l'architecture réseau, de nouvelles configurations de pare-feu ou de services professionnels coûteux ;
- personnaliser davantage les flux de travail grâce à des API complètes.
Cette approche de l'analyse de code centrée sur le développeur augmente considérablement la sécurité et la productivité en fournissant la bonne vulnérabilité au bon développeur au bon moment. Le temps moyen de remédiation est réduit, car les vulnérabilités sont corrigées alors que le code est encore frais dans l'esprit des développeurs, et le code vulnérable ne devient pas profondément interconnecté, car les règles de construction de sécurité l'empêchent d'entrer dans la branche maîtresse.
« La seule façon d'assurer la sécurité au rythme des cycles de vie du développement logiciel moderne est de créer une culture de responsabilité individuelle des développeurs pour la sécurité du code qu'ils écrivent. Toutefois, cela exige de nouvelles solutions de sécurité des applications spécialement conçues pour les besoins actuels. D'après notre nouvelle enquête, il est clair que les développeurs ont le sentiment que les processus de sécurité ad hoc et les outils dont ils disposent aujourd'hui ne les aident pas. Nous avons toujours placé la productivité et la sécurité à la base de notre plateforme, et les résultats de nos clients montrent que le nouveau flux de travail améliore considérablement leurs postures de sécurité tout en augmentant la productivité des développeurs », a déclaré Manish Gupta, PDG de ShiftLeft.
Source : ShiftLeft
Et vous ?
Les conclusions de cette étude s’alignent-elles avec la réalité dont vous êtes au fait ?
Quelle pertinence lui accordez-vous ?
Voir aussi :
Google met à la disposition des développeurs un panneau de sécurité sur Chrome, pour faciliter le déploiement du HTTPS
Les développeurs auraient du mal à implémenter correctement le chiffrement dans leur application, parce qu'ils n'ont pas reçu de formation spécifique
L'infrastructure du protocole de communication sécurisé Matrix piratée, le hacker parle et expose de mauvaises pratiques de sécurité qui l'ont aidé