A Veracode, fornecedora global de segurança de software e adquirida recentemente pela CA Technologies, anuncia os resultados de um estudo que analisa as relações entre as equipes de segurança e desenvolvimento de aplicativos. O levantamento, realizado com o Enterprise Strategy Group (ESG), mostra que, apesar da crença geral de que as equipes de segurança e desenvolvimento têm prioridades diferentes, iniciativas como a criação de ambientes DevOps e o foco na inovação de produtos mantêm as duas equipes alinhadas.
De acordo com a pesquisa, 58% dos entrevistados relataram que a organização está assumindo uma abordagem colaborativa para proteger seus aplicativos.
A pesquisa visa determinar os pontos de vista dos profissionais de segurança e desenvolvimento sobre as tendências de segurança de aplicativos e desenvolvimento de software. Entre os entrevistados que afirmaram que sua organização usa soluções de segurança de aplicativos, como testes estáticos de segurança de aplicativos, 43% relataram que tomam essa medida porque incluir a segurança de aplicativos no processo de desenvolvimento é mais eficiente do que corrigir os sistemas em produção de forma reativa.
Um fato curioso é que 45% dos entrevistados cuja organização adotou os princípios e as boas práticas de DevOps indicam que os processos facilitam o trabalho da equipe de desenvolvimento de software e apenas 8% disseram que a inclusão da segurança de aplicativos no processo de desenvolvimento desacelera o ambiente DevOps. Esta ideia não está alinhada à percepção comum de que o foco na segurança desacelera o desenvolvimento de software.
A pesquisa também mostrou que quase 70% dos entrevistados planejam aumentar os investimentos na segurança de aplicativos nos próximos 12 a 24 meses. Esse aumento de investimento ainda valida a importância crescente da segurança de aplicativos no processo de desenvolvimento.
O relatório aponta para a necessidade de colocar a segurança de aplicativos como parte integrante do processo de DevOps – a combinação conhecida como DevSecOps – e que essa necessidade é reconhecida e aceita. Os dados também destacam os requisitos tecnológicos necessários para tornar o DevSecOps uma realidade.
A complexidade e a incapacidade de integrar a segurança de aplicativos ao fluxo de trabalho do DevOps são os maiores obstáculos apontados para a implementação eficaz do modelo. Na verdade, a capacidade de integrar ferramentas de teste estático de software e de ciclo de vida do software (42%), além da capacidade de integrar ferramentas de teste dinâmico de software e de ciclo de vida do software (34%) aos processos de desenvolvimento de aplicativos e DevOps, foi a consideração mais citada ao avaliar produtos e serviços de teste estático e dinâmico de segurança de aplicativos, respectivamente.
O estudo, encomendado pela Veracode e realizado pela ESG, entrevistou 400 profissionais de TI nos Estados Unidos, Reino Unido e Alemanha.
TI Inside
21 de julho de 2017