Checkmarx présente les résultats de son nouveau rapport mondial « DevSecOps Evolution : from DevEx to DevSecOps » qui analyse les pratiques des équipes de développement dans les grandes entreprises alors qu’elles cherchent à développer leur maturité en matière de DevSecOps, favorisant l’application de la sécurité à toutes les étapes du développement applicatif. L’étude révèle que, malgré une certaine progression, les équipes de développement et de sécurité peinent à aligner flux de travail et métriques associées.
Selon les principales conclusions de l’étude, les développeurs des grandes organisations gagnent en confiance grâce aux formations et consacrent une part significative de leur temps à la sécurité
- 21 % des développeurs interrogés déclarent que la sécurité est leur priorité absolue lors du codage
- 99,6 % des participants ont eu accès à des formations dédiées à la sécurité, 90 % d’entre eux estimant l’efficacité de ces dernières de moyenne ou élevée
- 41,53 % déclarent comprendre les tickets de vulnérabilité qu’ils reçoivent, ainsi que la manière dont ces vulnérabilités se manifestent lors de l’exécution, entre 41 et 60 % du temps
- 72 % des développeurs consacrent plus de 17 heures par semaine à des tâches liées à la sécurité et un sur quatre y consacre plus de 25 heures
Le modèle de maturité DevSecOps de Checkmarx suit le passage du DevOps traditionnel au DevSecOps au sein des organisations, en quatre étapes :
- Étape 0 – Sécurité réactive : l’AppSec est « intégré » au développement, créant un goulot d’étranglement et agissant comme un frein au déploiement.
- Étape 1 – Axé sur la sécurité : l’AppSec détecte et transmet les vulnérabilités aux développeurs, qui sont bombardés d’alertes sans recevoir aucune aide à la remédiation.
- Étape 2 – Axé sur le DevEx : les outils sont directement intégrés à l’environnement de développement (IDE), ce qui permet aux développeurs de corriger les vulnérabilités à l’aide de conseils de remédiation sans perturber leur flux de travail.
- Étape 3 – DevSecOps mature : la culture DevSecOps est désormais solidement ancrée. Les équipes de sécurité et de développement partagent une vision commune en matière de politiques, de gouvernance et de collaboration. La formation, dispensée directement dans l’environnement de développement IDE au moment opportun, assure une montée en compétences ciblée. Par ailleurs, des objectifs clairs et des indicateurs de performance harmonisés permettent de suivre efficacement les progrès
L’étude a révélé également que la plupart des grandes organisations tendent vers des modèles DevSecOps matures :
- 30 % vont au-delà de l’expérience développeur pour créer des processus plus sophistiqués.
- 28,3 % mesurent le temps moyen de remédiation
- 45 % mesurent la sécurité du code
- 46,27 % mesurent leur capacité à respecter les délais.
Bien que le marché gagne progressivement en maturité, l’étude de Checkmarx révèle qu’il n’existe pas encore d’adhésion généralisée aux meilleures pratiques pour l’implémentation et l’évaluation de l’efficacité de DevSecOps. Malgré les avancées, des progrès restent à faire.