Según un nuevo estudio, los desarrolladores de software dedican mucho más tiempo -y las empresas, una fortuna- a tareas relacionadas con la seguridad, como la revisión manual de análisis de aplicaciones, o la detección de secretos.
La seguridad es importante, pero ¿hasta qué punto?
Un informe de IDC para la empresa de software JFrog revela que la mitad de los desarrolladores consideran que dedican el 19% de sus horas semanales a tareas relacionadas con la seguridad, a menudo fuera del horario laboral normal.
Como resultado, las organizaciones gastan 28.000 dólares por desarrollador al año.
Mientras tanto, la mitad de los desarrolladores, jefes de equipo, propietarios de productos y directores de desarrollo afirman que dedicar tiempo a tareas relacionadas con la seguridad del software les impide innovar, crear y ofrecer nuevas aplicaciones empresariales.
«Asegurar la cadena de suministro de software ya plantea retos significativos para las organizaciones, pero se vuelve más complejo cuando se utilizan múltiples herramientas, obligando a los desarrolladores a alternar entre múltiples entornos, lo que conduce a ineficiencias, pérdida de tiempo y un mayor riesgo», dijo Asaf Karas, CTO de JFrog Security.
«La encuesta de IDC crea un caso convincente para que las empresas inviertan en procesos de seguridad racionalizados, herramientas y formación, para capacitar a sus desarrolladores a ser más eficientes y eficaces en la protección de la cadena de suministro de software.»
¿Una pérdida de tiempo y de dinero? Todo apunta a que sí
Los desarrolladores de software están cansados de las correcciones manuales. En concreto, el estudio revela que los desarrolladores dedican tres horas y media a la semana a revisar manualmente los resultados de los análisis de seguridad, en gran parte debido a los falsos positivos y los duplicados.
La mitad de su tiempo se dedica a comprender e interpretar los resultados de los análisis, realizar los cambios oportunos en el código y actualizar las medidas de gestión. Siete de cada diez afirman que cambiar de una herramienta a otra reduce la eficacia.
Otros sistemas que consumen mucho tiempo son Infrastructure as Code (IaC), utilizado para automatizar el aprovisionamiento y la gestión de la infraestructura informática, como servidores, redes, sistemas operativos y almacenamiento. Más de la mitad (54%) de los desarrolladores afirman que realizan análisis de IaC semanal o mensualmente.
Mientras tanto, sólo el 23% de los desarrolladores realizan pruebas estáticas de seguridad de las aplicaciones (SAST) antes de desplegar el código en producción, lo que deja una enorme brecha por la que puede colarse el código malicioso.
La optimización con ayuda de la I.A debe ser una prioridad
«Para tener éxito, los líderes de los equipos de TI y desarrollo de software deben automatizar las tareas repetitivas y que consumen mucho tiempo, garantizar que las herramientas DevSecOps ofrezcan precisión con un mínimo de falsos positivos, y proporcionar acceso continuo a los desarrolladores a la educación y los recursos de seguridad de las aplicaciones para que puedan seguir el ritmo de un panorama de amenazas en rápido crecimiento.»
El informe es solo el último en destacar los problemas con las herramientas de pruebas de seguridad, con una nueva investigación de Black Duck que revela que más de ocho de cada diez organizaciones utilizan entre seis y veinte herramientas de pruebas de seguridad diferentes.
Esto hace más difícil distinguir entre problemas auténticos y falsos positivos, y seis de cada diez afirman que entre el 21% y el 60% de los resultados de sus pruebas de seguridad eran falsos positivos, duplicados o conflictos.