De nombreuses contraintes pèsent sur le travail des développeurs pour sécuriser les logiciels de bout en bout. Il s’agit de l’examen manuel des analyses d'applications, de l’utilisation de multiples outils et du temps passé à la détection des secrets (clés d’API, mots de passe, etc.).
Le rapport IDC publiée par JFrog sur les coûts cachés du DevSecOps montre que la moitié des professionnels du secteur se confrontent à une augmentation significative du nombre d'heures liées à la mise en place de la sécurité logicielle. Un temps qui est soustrait à leur cœur de métier de développeur. L’étude porte sur des professionnels de la chaîne de développement des logiciels aux Etats-Unis et en Europe.
Les réponses à la question « Combien d'heures par semaine vous ou le développeur moyen de votre équipe consacrez-vous aux problèmes de sécurité en dehors des heures de travail normales, en moyenne ? » livrent un panorama édifiant de la situation. Côté verre plein, 39 % des développeurs y consacrent moins d’une heure mais le reste des membres du panel de l’étude dépassent cette durée comme l’indique le graphique ci-dessous.
Pour 69 % des développeurs, les obligations de sécurité les obligent à changer fréquemment de contexte entre divers outils, ralentissant leur efficacité. Par exemple, l’utilisation de tokens (jetons) pour contourner la réauthentification pour chaque plateforme. Or, s’ils sont indispensables pour les développeurs, ce mode d’authentification peut aussi laisser des portes dérobées dans les SI des entreprises.
Seuls 23 % des développeurs effectuent des analyses SAST avant de passer en mode production
Les tests de sécurité des applications statiques (SAST), sont une méthode d’analyse du code pour trouver les vulnérabilités éventuelles. Les développeurs y consacrent la moitié de leur temps de travail mais seuls 23 % des développeurs effectuent des analyses SAST avant de déployer le code en production, laissant des failles de sécurité.Plus de la moitié (54 %) des codeurs disent effectuer des analyses hebdomadaires ou mensuelles des serveurs, réseau, OS et équipements de stockage. Les développeurs indiquent qu'ils consacrent en moyenne moins d'une heure par semaine à des activités de formation à la sécurité. Or, il faut un socle minimum de connaissances en sécurité pour l’application efficace des processus DevSecOps.
De leur côté, les analyses SCA (software composition analysis), identifient les dépendances Open Source qui peuvent induire des vulnérabilités, il s’agit principalement de l’analyse des dépôts de code source et de fichiers binaires. Les équipes de développement y consacrent 3,8 heures par semaine.
« Le DevSecOps [...] est la pierre angulaire de la construction des applications sécurisées du futur mais le défi réside dans le dépassement des outils inefficaces et mal implémentés qui gaspillent le temps des développeurs et gonflent les coûts" prévient Katie Norton, directeur de recherche, DevSecOps and Software Supply Chain Security chez IDC.
