Softwareontwikkelaars besteden aanzienlijk meer tijd – en bedrijven een fortuin – aan beveiligingsgerelateerde taken zoals het handmatig controleren van applicatiescans, schakelen tussen verschillende taken en het detecteren van geheime informatie. Dat blijkt uit nieuw onderzoek.
Een IDC-rapport, uitgevoerd voor softwarebedrijf JFrog, toont aan dat de helft van de ontwikkelaars denkt dat ze 19 procent van hun wekelijkse uren besteden aan beveiligingsgerelateerde taken, vaak buiten de normale werktijden. Als gevolg daarvan geven organisaties effectief 28.000 dollar per ontwikkelaar per jaar uit, schrijft ITPro.
Het beveiligen van de softwareleveringsketen vormt al aanzienlijke uitdagingen voor organisaties, maar het wordt complexer wanneer meerdere tools worden gebruikt
Asaf Karas JFrog Security
Beveiligen van softwareleveringsketen vormt aanzienlijke uitdagingen
Ondertussen zegt de helft van de senior ontwikkelaars, teamleiders, producteigenaren en ontwikkelingsmanagers dat het besteden van tijd aan softwarebeveiligingstaken innovatie, het bouwen en leveren van nieuwe zakelijke applicaties in de weg staat. ,,Het beveiligen van de softwareleveringsketen vormt al aanzienlijke uitdagingen voor organisaties, maar het wordt complexer wanneer meerdere tools worden gebruikt, waardoor ontwikkelaars moeten schakelen tussen verschillende omgevingen. Dit leidt tot inefficiëntie, verspilling van tijd en verhoogd risico", aldus Asaf Karas, CTO van JFrog Security.
Karas: ,,Het onderzoek van IDC toont een overtuigend argument voor bedrijven om te investeren in gestroomlijnde beveiligingsprocessen, tools en training, zodat hun ontwikkelaars efficiënter en effectiever kunnen zijn in het beschermen van de softwareleveringsketen."
Softwareontwikkelaars klaar met handmatige oplossingen
Uit het onderzoek bleek dat ontwikkelaars wekelijks drieënhalf uur besteden aan het handmatig beoordelen van bevindingen uit beveiligingsscans, grotendeels als gevolg van valse positieven en duplicaten.
De helft van hun tijd gaat naar het begrijpen en interpreteren van resultaten van het scannen op geheime gegevens, het aanbrengen van de juiste wijzigingen in de code en het bijwerken van geheimenbeheer. Zeven op de tien ontwikkelaars geven aan dat het schakelen tussen verschillende tools de efficiëntie vermindert.
DevSecOps is niet alleen een zakelijke noodzaak; het is de hoeksteen van het bouwen van de veilige applicaties van de toekomst
Katie Norton IDC
Gevaar van schadelijke code
Andere tijdrovende systemen zijn onder meer Infrastructure as Code (IaC), dat wordt gebruikt om de levering en het beheer van IT-infrastructuur, zoals servers, netwerken, besturingssystemen en opslag, te automatiseren. Dit moet elke keer worden gescand wanneer de code wordt gewijzigd, waarbij meer dan de helft (54 procent) van de ontwikkelaars aangeeft dat ze IaC-scans wekelijks of maandelijks uitvoeren.
Ondertussen voert slechts 23 procent van de ontwikkelaars statische applicatiebeveiligingstests (SAST) uit, voordat ze de code in productie brengen, waardoor er een groot gat ontstaat waar een schadelijke code doorheen kan glippen.
,,DevSecOps (dat staat voor ontwikkeling, beveiliging en bewerkingen. Het verwijst naar het proces van het integreren van beveiliging in alle fasen van softwareontwikkeling, red.) is niet alleen een zakelijke noodzaak; het is de hoeksteen van het bouwen van de veilige applicaties van de toekomst. Een belangrijke uitdaging is echter het overwinnen van inefficiënte, slecht geïmplementeerde tools die de tijd van ontwikkelaars verspillen en de kosten opdrijven", aldus Katie Norton, onderzoeksmanager DevSecOps en softwareleveringsketenbeveiliging bij IDC.
Drie prioriteiten voor het benutten van een AI-voordeel
,,Om succesvol te zijn, moeten IT- en softwareontwikkelingsteams repetitieve en tijdrovende taken automatiseren, ervoor zorgen dat DevSecOps-tools nauwkeurige resultaten leveren met minimale valse positieven. Plus doorlopend toegang bieden tot opleiding en middelen voor applicatiebeveiliging, zodat ontwikkelaars het snel veranderende dreigingslandschap kunnen bijhouden."
Dit rapport is het laatste in een reeks rapporten die de problemen met beveiligingstesttools benadrukken. Nieuw onderzoek van Black Duck laat zien dat meer dan acht op de tien organisaties tussen de zes en twintig verschillende beveiligingstesttools gebruiken. Dat maakt het moeilijker om onderscheid te maken tussen echte problemen en valse positieven, waarbij zes op de tien organisaties aangaven dat tussen de 21 en 60 procent van hun beveiligingstestresultaten valse positieven, duplicaten of conflicten waren.
Bron: ITPro
In onze wekelijkse nieuwsbrief vind je het beste van BusinessWise die week. Abonneer je gratis en blijf altijd op de hoogte!
