Los desarrolladores están de acuerdo: los procesos de seguridad de las aplicaciones tienen un impacto negativo en la productividad

por

El 86% de los desarrolladores encuestados en una encuesta reciente dijeron que cada aspecto de appsec obstaculiza su capacidad para impulsar el código.

istock-478262468.jpg

Imagen: iStock / g-stockstudio

Una nueva encuesta de desarrolladores ha encontrado que no existe una sola herramienta de seguridad de aplicaciones (appsec) que al menos el 80% de los desarrolladores dijeron que está inhibiendo su productividad.

La seguridad de las aplicaciones involucra herramientas que se utilizan para encontrar y corregir vulnerabilidades en las aplicaciones, y el informe, publicado por la firma de aplicaciones ShiftLeft, hace que parezca que todas esas herramientas son espinas en el lado colectivo de los desarrolladores.

VER: Kit de contratación: ingeniero de aplicaciones (TechRepublic Premium)

El grado en que varios aspectos de appsec obstaculizan la productividad de los desarrolladores varía de un artículo a otro, y el mayor obstáculo (según el 89,7% de los encuestados) es la desconexión entre los flujos de trabajo de desarrollo y seguridad.

Después de esa desconexión vienen siete áreas problemáticas más, cada una de las cuales vale la pena mencionar porque la que menos obstaculiza todavía causa problemas al 81,3% de los desarrolladores. De más a menos preocupantes son:

  • Realizar pruebas de seguridad demasiado tarde en el ciclo de desarrollo (88,7%)
  • Falta de orientación de remediación (87,7%)
  • Mala calidad de los resultados de las pruebas de seguridad (86,2%)
  • Parches de vulnerabilidad que requieren actualizaciones adicionales del código conectado (85%)
  • Falta de herramientas de análisis de código amigables para el desarrollador (84,4%)
  • Demasiada dependencia de los procesos de seguridad manuales (82,1%)
  • Velocidad del software de prueba de seguridad (81,3%)

Los encuestados indicaron que la mayor parte del tiempo perdido dedicado a la protección de aplicaciones se produce durante el desarrollo y mientras las aplicaciones ya están en producción (empatado en 37,8%).

Se demostró que las herramientas de seguridad basadas en entornos de desarrollo integrados (IDE) eran las menos populares, y la encuesta dijo que los desarrolladores “a menudo desactivan” herramientas de ese tipo. “Insertar seguridad mientras los desarrolladores escriben código [was found] para ser el mayor inhibidor de la productividad de los desarrolladores “, dice el informe.

VER: Microservicios: la base de las aplicaciones empresariales del mañana (.) (TechRepublic)

El informe también encontró que asegurar el código en el punto de solicitud de extracción / fusión era el método de appsec que menos inhibía la productividad, pero también encontró que las desconexiones del flujo de trabajo son el obstáculo más ampliamente reconocido, lo que indica que la aplicación de extracción / combinación puede no ser tan común como los desarrolladores desearían que así fuera.

“Está claro que escalar para satisfacer las necesidades del SDLC moderno no es algo en lo que appsec pueda gastar o contratar. Involucrar a los desarrolladores y crear una cultura de responsabilidad entre los equipos de desarrollo para asegurar el código que escriben de manera oportuna es lo único forma en que la seguridad puede igualar el ritmo del desarrollo moderno “, concluyó el informe.

Los flujos de trabajo centrados en el desarrollador son la clave para mejorar appsec sin sacrificar el tiempo de productividad, y ShiftLeft dijo que las pruebas de seguridad de aplicaciones estáticas (SAST) y el análisis de composición de software (SCA) son dos de los mejores métodos para desarrollar procesos de appsec centrados en el desarrollador.

Eso no significa que los equipos de seguridad deban considerar appsec completamente en manos de los desarrolladores, agrega el informe: las pruebas de seguridad de aplicaciones dinámicas, las pruebas de penetración y los firewalls de aplicaciones web siguen siendo partes necesarias de los ciclos de vida de desarrollo de software que deben ser manejados por los equipos de seguridad. .

La clave es crear “flujos de trabajo para desarrolladores especialmente diseñados para herramientas de seguridad centradas en el desarrollador”, liberando a los desarrolladores para que hagan lo que necesitan hacer sin interrumpir sus ciclos y dejando que TI maneje el resto de la esfera de seguridad de las aplicaciones.

Sigue navegando por nuestra web viendo más artículos.

Publicaciones relacionadas:

  1. Seguridad de aplicaciones en la nube de Microsoft: este software puede ayudarlo a administrar la TI en la sombra y aumentar la productividad
  2. Cómo los nuevos requisitos de privacidad de la App Store de Apple pueden afectar a los usuarios y desarrolladores de aplicaciones
  3. Los entornos en la nube están empeorando el problema de sobrecarga de alertas de seguridad
  4. Cómo las malas prácticas de seguridad de los empleados remotos están haciendo perder el tiempo al personal de TI

Deja un comentario