В отчете Sonatype подчеркивается, что количество взломов с открытым исходным кодом возросло на колоссальные 71%, наряду с рядом других данных о безопасности.
Этот отчет является крупнейшим опросом DevOps, проведенным Sonatype, и 5558 человек поделились своими взглядами. Участники были из большинства основных секторов, но в основном в сфере технологий и банковской / финансовой промышленности.
Основная причина, по которой респонденты внедряют безопасность на протяжении всего жизненного цикла разработки, заключается в целях управления рисками (34,77%), за которыми следует повышение качества кода (24,75%). Соответствие требованиям (23,42%) отставало.
48 процентов разработчиков в этом году сообщают, что безопасность важна, но у них недостаточно времени, чтобы на нее потратить. Это то же самое, что и в предыдущем году, хотя по сравнению с 50 процентами в 2017 году, что указывает на то, что разработчики все еще испытывают нехватку времени.
В сообщении цитируется Лу Кортез с сайта графического дизайна Canva:
«Не признание важности безопасности в стратегии DevOps — это путь к катастрофе. Независимо от того, насколько высока скорость организации DevOps, если то, что они производят, не способствует конфиденциальности, целостности и доступности, значит, они потерпели неудачу. Включение безопасности во все, что делается, является частью обеспечения возможности бизнеса для достижения своих стратегических целей. DevOps нуждается в безопасности».
Более 85 процентов современных приложений используют компоненты с открытым исходным кодом; частично из-за вышеупомянутых временных ограничений. Разработчики предпочитают использовать уже существующий код, а не писать свой собственный.
Около 47 процентов организаций DevOps не ведут полную запись о том, какие компоненты используются в их приложениях. Из тех, у кого есть «элитная» практика DevOps — 38 процентов сообщают, что сторонние компоненты «заблокированы», 36 процентов имеют «некоторые стандарты», а 26 процентов «не имеют стандартов».
В 2014 году 14 процентов подозревали или подтвердили нарушение безопасности, связанное с компонентом с открытым исходным кодом. В этом году этот показатель вырос до одного из четырех.
Существует интересное несоответствие между большими (более 5000 разработчиков) и небольшими (менее 100) командами разработчиков, когда речь заходит о политиках безопасности. Для небольших команд более 60 процентов не верят, что их политики безопасности замедляют развитие. С большими командами, почти 53 процента считают, что это так.
К счастью, у большинства есть план реагирования на инциденты в кибербезопасности. 81 процент для тех, кто имеет элитные практики DevOps. Это снижается до 63 процентов для тех, у кого нет практики DevOps.