A Veracode, líder global de segurança de software e adquirida recentemente pela CA Technologies (NASDAQ: CA), anuncia os resultados de um estudo que analisa as relações entre as equipes de segurança e desenvolvimento de aplicativos. O levantamento, realizado com o Enterprise Strategy Group (ESG), mostra que, apesar da crença geral de que as equipes de segurança e desenvolvimento têm prioridades diferentes, iniciativas como a criação de ambientes DevOps e o foco na inovação de produtos mantêm as duas equipes alinhadas. De acordo com a pesquisa, 58% dos entrevistados relataram que a organização está assumindo uma abordagem colaborativa para proteger seus aplicativos.
Para ver o relatório, clique aqui. O infográfico completo está anexo.
Necessidade crescente de DevSecOps
A pesquisa visa determinar os pontos de vista dos profissionais de segurança e desenvolvimento sobre as tendências de segurança de aplicativos e desenvolvimento de software. Entre os entrevistados que afirmaram que sua organização usa soluções de segurança de aplicativos, como testes estáticos de segurança de aplicativos, 43% relataram que tomam essa medida porque incluir a segurança de aplicativos no processo de desenvolvimento é mais eficiente do que corrigir os sistemas em produção de forma reativa.
Um fato curioso é que 45% dos entrevistados cuja organização adotou os princípios e as boas práticas de DevOps indicam que os processos facilitam o trabalho da equipe de desenvolvimento de software e apenas 8% disseram que a inclusão da segurança de aplicativos no processo de desenvolvimento desacelera o ambiente DevOps. Esta ideia não está alinhada à percepção comum de que o foco na segurança desacelera o desenvolvimento de software.
“Software continua sendo o principal impulsionador de inovação e crescimento econômico. Eliminar a percepção de que há um atrito entre os times de segurança e desenvolvimento é uma prioridade para os profissionais de TI”, afirma Pete Chestna, diretor de engajamento de desenvolvedores da Veracode. “A percepção positiva de que é possível ter o alinhamento das equipes de segurança e DevOps, conforme indicado nesta pesquisa, mostra que as equipes de desenvolvimento podem e devem considerar a segurança como parte integrante do processo. ”
Esse entendimento não poderia chegar em melhor momento para as empresas, pois ataques que exploram vulnerabilidades de software são cada vez mais comuns e prejudiciais. O ataque do vírus WannaCry é o exemplo mais recente, que explora uma vulnerabilidade de versões mais antigas do sistema operacional Microsoft Windows. Embora a Microsoft tenha lançado uma correção para a vulnerabilidade, milhares de organizações não instalaram a correção e foram infectadas pelo WannaCry.
A pesquisa também mostrou que quase 70% dos entrevistados planejam aumentar os investimentos na segurança de aplicativos nos próximos 12 a 24 meses. Esse aumento de investimento ainda valida a importância crescente da segurança de aplicativos no processo de desenvolvimento.
Influência dos processos de DevOps nos requisitos tecnológicos
A pesquisa aponta para a necessidade de colocar a segurança de aplicativos como parte integrante do processo de DevOps – a combinação conhecida como DevSecOps – e que essa necessidade é reconhecida e aceita. Os dados também destacam os requisitos tecnológicos necessários para tornar o DevSecOps uma realidade.
A complexidade e a incapacidade de integrar a segurança de aplicativos ao fluxo de trabalho do DevOps são os maiores obstáculos apontados para a implementação eficaz do modelo. Na verdade, a capacidade de integrar ferramentas de teste estático de software e de ciclo de vida do software (42%), além da capacidade de integrar ferramentas de teste dinâmico de software e de ciclo de vida do software (34%) aos processos de desenvolvimento de aplicativos e DevOps, foi a consideração mais citada ao avaliar produtos e serviços de teste estático e dinâmico de segurança de aplicativos, respectivamente.
“As metodologias contemporâneas de desenvolvimento de aplicativos promovem a comunicação e a colaboração entre as equipes de desenvolvimento de aplicativos, operações e segurança com o objetivo de identificar e corrigir vulnerabilidades o mais rápido possível para aumentar a eficiência e intensificar a segurança”, avalia Doug Cahill, Analista Sênior da ESG. “A adoção cada vez maior de processos de DevOps, combinada à vontade de integrar e automatizar os testes de segurança durante todo o ciclo de vida do software, indica uma mudança para o DevSecOps, o que significa considerar o código seguro como um elemento da criação de aplicações de qualidade.”
Metodologia
O estudo, encomendado pela Veracode e realizado pela ESG, entrevistou 400 profissionais de TI nos Estados Unidos, Reino Unido e Alemanha.
Para saber mais sobre como o processo DevSecOps constrói uma ponte entre o desenvolvimento de software rápido e seguro, baixe o Guia do Desenvolvedor para DevSecOps Galaxy da Veracode.