Les entreprises qui s'attachent à faire confiance à leurs développeurs, à regarder au-delà de tout blâme et à rechercher une coopération solide ont tendance à adopter davantage de mesures qui contribuent à des chaînes d'approvisionnement logicielles plus sûres.
Selon l'état annuel Accelerate State of DevOps 2022 publié le 28 septembre par l'équipe de recherche et d'évaluation DevOps (DORA) de Google Cloud, il a également été constaté que les équipes DevOps qui se concentraient sur les bonnes pratiques de sécurité avaient un taux d'épuisement plus faible, les équipes à faible sécurité ayant 1.4 fois plus de chances d'exprimer des niveaux élevés de stress.
Bien que l'infrastructure technique ait aidé, l'enquête montre qu'il est extrêmement important de commencer ou de développer la bonne culture.
Par exemple, l'enquête DORA au cœur du rapport a mesuré l'adhésion des équipes DevOps à 13 aspects différents mesurés par le cadre de sécurité des niveaux de la chaîne d'approvisionnement pour les artefacts logiciels (SLSA), qui appelle à la création de versions de produits en utilisant l'intégration continue centralisée/le développement continu. (CI/CD), stockant indéfiniment les historiques de modifications, définissant les versions logicielles via des scripts et isolant le processus de génération. Et même si la majorité des entreprises avaient complètement ou modérément mis en œuvre les 13 pratiques, celles qui avaient des cultures plus collaboratives et moins axées sur le blâme ont fait mieux, selon l'enquête DORA.
"Des cultures plus ouvertes et plus génératives... ont tendance à avoir des effets positifs sur les performances organisationnelles ainsi que sur les personnes qui y travaillent", explique Todd Kulesza, l'un des auteurs du rapport et chercheur senior en expérience utilisateur (UX) chez Google Cloud. . "Ce que nous voulons voir, c'est - s'il y a un problème de sécurité - nous voulons que les ingénieurs se sentent habilités et en sécurité pour attirer l'attention sur cela. Vous ne voulez pas que vos développeurs balayent les choses sous le tapis, surtout en termes de sécurité. »
L'enquête a malheureusement révélé qu'il y a du travail à faire sur le front collaboratif : de nombreux développeurs de logiciels estiment qu'il existe un fossé entre les programmeurs et les équipes de sécurité des applications.
"Les approches à haute friction de la sécurité peuvent être frustrantes pour les développeurs et globalement inefficaces, car les gens essaient d'éviter les points de friction", indique le rapport. "Les développeurs avec qui nous avons parlé voulaient faire ce qu'il fallait et parlaient souvent de leur frustration face au fait que les fonctionnalités d'expédition ou les correctifs prenaient systématiquement la priorité sur les problèmes de sécurité potentiels."
Sécurité de la chaîne d'approvisionnement : baromètre critique des performances DevOps
Dans sa huitième année, le Rapport annuel de l'équipe DevOps Research and Assessment (DORA) s'est efforcé d'identifier les meilleures pratiques parmi les équipes qui utilisent l'approche DevOps pour le développement de logiciels. En 2021, le groupe DORA a constaté que la sécurité de la chaîne d'approvisionnement logicielle était devenue un élément essentiel des organisations DevOps hautement performantes. Cette année, les chercheurs se sont donc concentrés sur la détermination de ce qui a conduit à des résultats positifs sur ce front.
Dans l'enquête, Google s'est concentré sur l'adoption de pratiques de sécurité faisant partie des chaînes d'approvisionnement.
En plus de l'adhésion des équipes DevOps au framework SLSA, l'enquête a demandé aux développeurs dans quelle mesure ils se conforment aux dizaines de pratiques de sécurité qui forment le Secure Software Development Framework (SSDF) créé par le National Institute of Standards and Technology (NIST) des États-Unis. .
Les organisations qui avaient des équipes très coopératives qui partageaient les risques et les responsabilités et donnaient la priorité à l'apprentissage plutôt qu'au blâme — cultures dites « génératives » – étaient plus susceptibles d'adopter plus de deux douzaines de ces pratiques de sécurité, selon l'enquête auprès des praticiens DevOps.
"Beaucoup de ces pratiques - je ne vais pas dire qu'elles sont établies à 100 % dans les organisations - mais beaucoup de ces pratiques ont 50 % ou plus de praticiens déclarant qu'elles sont établies ou très bien établies", déclare John Speed. Meyers, co-auteur du rapport et scientifique des données de sécurité au sein de la société de sécurité de la chaîne d'approvisionnement logicielle Chainguard. "Il y a beaucoup de place à l'amélioration, mais ces choses ne sont pas si difficiles que personne ne le fait."
L'enquête a également mesuré l'épuisement professionnel des développeurs, en fonction de leur niveau d'accord avec des déclarations telles que "mes sentiments à propos du travail affectent négativement ma vie en dehors du travail" et "je suis indifférent ou cynique à propos de mon travail". Les équipes qui ne se sont pas concentrées sur la sécurité étaient 40 % plus susceptibles d'être d'accord ou fortement d'accord avec ces déclarations.
De plus, les équipes qui avaient les pires taux d'échec de changement et qui mettaient le plus de temps à se déployer - allant d'une fois par mois à une fois tous les six mois - avaient également des taux élevés d'épuisement professionnel.
