Global Developer Report 2019 : focus sur la sécurité
mar, 13/08/2019 - 18:15
Pour l’édition 2019 du rapport GitLab, + 4000 personnes ont répondu au questionnaire. Plusieurs points clés sont mis en avant :
- DevOps : meilleure visibilité auprès des développeurs. 89 % ont une meilleure vision et compréhension du travail de leurs camarades de projet
– le déploiement continu est une réalité
– la sécurité progresse (ouf!), mais reste toujours un « problème »
– le télétravail est apprécié et efficace
– le test reste une question délicate et la phase de tests provoque des retards (pour 49 % des personnes)
Quelles sont les pratiques agiles utilisées ? Une légère majorité répond Scrum puis Kanban et DevOps. 33 % des développeurs disent avoir une approche correcte des pratiques DevOps. Sur le référentiel de code, aucune surprise : Git pour 95 % des répondants. Sur les outils les plus utilisés pour l’intégration continue et les outils de build, dans l’ordre : GitLab et Jenkins.
Le déploiement continu est désormais ancré dans le quotidien des développeurs. 43 % disent faire du déploiement plusieurs par jour, 41 % entre 1 fois par jour et 1 fois par mois (ce qui est très très large). Bref, le cycle de développement s’est considérablement accéléré. Notons tout de même que 56 % des répondants travaillent dans des entreprises ayant de 1 à 100 personnes ce qui allège les contraintes.
Sur la partie sécurité, la rapport indique toujours le regard ambigu du développeur et comment il l’intègre dans le développement. Entre faire du code plus sécurisé et la situation réelle, l’écart est encore énorme et les commentaires expliquent finalement pourquoi la sécurité et le développeur reste un sujet difficile : on commence seulement maintenant, mon travail n’est pas analysé, il n’y a pas de bonnes pratiques claires entre les équipes et les départements de l’entreprise, etc.
Le rapport met en avant plusieurs pratiques :
– une équipe dédiée à la sécurité peut découvrir des bugs et failles avant le merge des codes avec de bonnes pratiques et les bons outils. Une partie du problème se joue durant le codage
– le développeur ne serait pas assez impliqué ou sensibilisé à la correction des vulnérabilités
– 50 % des experts en sécurité disent découvrir les bugs après la fusion des codes, en environnement de tests. On est donc loin de la détection des bugs le plus tôt possible dans la programmation et la conception
Plusieurs méthodes / pratiques sont utilisées par les développeurs de du rapport pour améliorer la situation : tests de sécurité durant le développement, scan de codes directement durant l’intégration continue et le déploiement continu, vérification du code à la volée. Mais le quart des répondants disent ne pas savoir ce qui est utilisé ou s’il y a des actions réaliser !
L’impact des tests de sécurité sur le développement est réel. Les équipes de sécurité le reconnaissent : 50 % d’entre elles pensent qu’il y a impact sur le développement, la planification du projet et itération ou encore le déploiement.
Plusieurs métriques peuvent permettre de cerner l’importance de la faille et donc de sa correction :
– la gravité (réelle) de la vulnérabilité
– le temps entre la correction et la découverte
– le temps nécessaire pour corriger la faille
– le nombre de vulnérabilités répertoriées
Le DevOps peut améliorer la sécurité et donc la qualité du code et des projets. Le DevSecOps est un DevOps mettant clairement en avant les outils et les bonnes pratiques pour découvrir et corriger les failles et vulnérabilités.
Bref, il faut que la/le développeuse/eur soit plus réactif et sensibilisé à la sécurité, aux vulnérabilités.