Beveiliging moet tijdens de ontwikkelingscyclus geïntegreerd worden (security by design). Echter is er nog steeds sprake van frictie tussen het development- en security-team. Zo vindt bijna de helft van de beveiligingsprofessionals (49 procent) het lastig om ontwikkelaars ertoe te bewegen om prioriteit te geven aan het verhelpen van kwetsbaarheden.
Dat blijkt uit de Global Developer Survey van ontwikkelplatform GitLab. Hiervoor zijn ruim vierduizend softwareprofessionals wereldwijd ondervraagd om de volledige levenscyclus van softwareontwikkeling in kaart te brengen. Dit onderzoek biedt naar eigen zeggen inzicht in de bedrijfscultuur, workflows, tools van organisaties en operationele teams en security-teams.
Security-teams met een effectief DevOps-proces maken drie keer meer kans maken om bugs te vinden voordat code wordt samengevoegd. Verder voeren zij succesvollere testen uit dan de teams waarbij DevOps nog in de kinderschoenen staat.
Sid Sijbrandij, ceo en medeoprichter van GitLab. ‘De belangrijkste conclusie van dit onderzoek is dat organisaties die in een vroegtijdig stadium krachtige DevOps-praktijken hebben toegepast, merken dat de beveiliging hierdoor is verbeterd en het eenvoudiger is om te innoveren. Desondanks blijft er sprake van struikelblokken die development- en security-teams ervan weerhouden om werkelijke DevSecOps te realiseren. Teams hebben behoefte aan één oplossing die inzicht biedt in beide aspecten van het proces, zodat het ontwikkelingsproces kan worden gestroomlijnd.’
Workflow
Daarnaast concluderen de onderzoekers dat teams met een volwassen DevOps-model ‘forse verbeteringen’ realiseren in hun workflow. Zij hebben anderhalf keer vaker het gevoel innovatief bezig te zijn. Ontwikkelaars bij organisaties met ‘onvolwassen’ DevOps-modellen hebben daarentegen het gevoel dat hun processen hen in de weg zitten. Zo hebben ze 2,5 keer meer kans op vertraging tijdens de planningsfase en is de kans 2,6 keer groter dat ze te maken krijgen met bureaucratie die het verhelpen van kwetsbaarheden vertraagt.
Tot slot maakt een juiste DevOps-aanpak continuous delivery mogelijk. Hierbij worden on demand-implementaties worden gedaan. Bijna de helft van alle ontwikkelaars paste het principe van continuous deployment toe binnen minimaal één onderdeel van hun organisatie. 41 procent zegt dat implementaties tussen de één keer per dag en één keer per maand plaatsvinden.
