Pour construire un logiciel sécurisé, la culture d'équipe compte plus que la technologie,

Selon la version 2022 du rapport State of DevOps

Google a récemment publié les résultats du rapport 2022 Accelerate State of DevOps. Cette année, le rapport s'est concentré sur la sécurité, en mettant l'accent sur la chaîne logistique des logiciels. Le but était de mieux cerner la relation entre la sécurité et le DevOps. Le rapport a révélé une large adoption des pratiques inspectées, les organisations qui ont une culture de confiance élevée et de faible blâme étant en tête pour les pratiques opérationnelles et de sécurité. Les auteurs ont également constaté une augmentation des mauvais résultats, qui passent de 7 % en 2021 à 19 % cette année.

Le rapport Accelerate State of DevOps est publié chaque année depuis 2014 par l'équipe DORA (DevOps Research and Assessment) de Google. L'équipe dit avoir interrogé 33 000 praticiens dans le monde entier depuis 2014, couvrant tous les principaux secteurs d'activité. Cette année, le rapport Accelerate State of DevOps se base sur les résultats d'une enquête menée auprès de 1350 professionnels - dont 68 % travaillent dans le développement, l'ingénierie ou les opérations et infrastructures informatiques - issus d'organisations bien équilibrées entre les plus grandes (avec plus de 10 000 employés) et les petites (20-99 employés).


L'édition de cette année fait état d'une baisse de ce que l'équipe appelle la "performance opérationnelle des logiciels" depuis l'année dernière, d'une augmentation de l'utilisation du cloud et du fait que le CI/CD (Continuous Integration/Continuous Delivery) est essentiel à la sécurité des logiciels. Les chercheurs concluent également que pour développer des logiciels sécurisés, une forte culture de collaboration est plus importante que n'importe quelle caractéristique technique. Voici ci-dessous les points de l'édition 2022 du rapport Accelerate State of DevOps de Google.

Sécurité

L'équipe a poursuivi ses recherches en 2021 sur la sécurité de la chaîne logistique logicielle en examinant les pratiques techniques qui améliorent la sécurité de la chaîne logistique logicielle et les pratiques non techniques qui ont un impact sur la capacité d'une organisation à exceller dans la sécurisation de sa chaîne logistique logicielle. Elle s'est appuyée sur deux frameworks pour orienter ses recherches : Supply Chain Levels for Software Artifacts (SLSA) et Secure Software Development Framework (SSDF) du NIST. Les principales conclusions dans ce domaine sont :

• le virage à gauche (shifting left) en matière de sécurité est une pratique largement adoptée. L'étude montre que deux tiers des personnes interrogées poursuivent activement la sécurisation de la chaîne logistique logicielle en intégrant la sécurité de manière transparente dans le processus de développement ;
• la culture est le principal moteur de l'adoption des pratiques de sécurité. On pourrait s'attendre à ce que la technologie soit le principal moteur, mais les recherches ont montré qu'une culture organisationnelle générative (par exemple, orientée vers la performance, hautement coopérative, partageant les risques) conduit à des pratiques logicielles plus saines ;
• les pratiques techniques autour du CI/CD permettent de prédire le succès en matière de sécurité. Les entreprises qui utilisent le contrôle des sources, l'intégration continue (CI) et la livraison continue (CD) ont des pratiques SLSA mieux établies. Ces pratiques transfèrent la sécurité aux développeurs et garantissent une analyse cohérente de la sécurité ;
• le cloud permet des pratiques logicielles sécurisées. Les cinq caractéristiques du cloud computing définies par le NIST permettent l'adoption réussie de la sécurité de la chaîne logistique logicielle qui, à son tour, prédit une meilleure performance organisationnelle.

« Nous avons constaté que le principal facteur prédictif des pratiques de sécurité en matière de développement d'applications d'une organisation était culturel, et non technique. Les cultures fondées sur la confiance et le blâme, et axées sur la performance, étaient 1,6 fois plus susceptibles d'adopter des pratiques de sécurité émergente supérieures à la moyenne que les cultures fondées sur la confiance et le blâme, et axées sur le pouvoir ou les règles », indique le rapport. Puisque la culture collaborative est également alignée sur d'autres aspects des équipes logicielles performantes, c'est peut-être le message clé ici.

S'il a un problème, il est préférable de régler d'abord la culture organisationnelle et l'amélioration des performances des développeurs, y compris la sécurité, suivra. « Les individus et les interactions priment sur les processus et les outils », disait le Manifeste Agile en 2001, et il semble que cela n'ait pas changé. En outre, le rapport ajoute...