Cresce nelle aziende la difficoltà di mantenere l’affidabilità e la sicurezza del software, poiché la richiesta di cicli di rilascio continui e la crescente complessità degli ambienti cloud-native aumentano il rischio che difetti e vulnerabilità non rilevati entrino in produzione.
A confermarlo sono i risultati del Global Cio Report 2023, “Observability and security convergence: enabling faster, more secure innovation in the cloud” (SCARICA QUI IL REPORT COMPLETO), sondaggio globale indipendente condotto da Dynatrace su 1.300 Cio e senior DevOps manager, di cui 100 italiani, che lavorano in grandi organizzazioni.
Osservabilità e sicurezza la chiave per costruire una cultura DevSecOps
Secondo l’indagine, i Cio e i senior DevOps manager stanno guardando ai processi DevSecOps, alla convergenza di osservabilità e sicurezza e al maggiore utilizzo di IA e automazione per bilanciare una rapida innovazione con l’affidabilità e la sicurezza. Più nel dettaglio, l’88% dei Cio (il 76% di quelli italiani) afferma che la convergenza delle pratiche di osservabilità e sicurezza sarà fondamentale per costruire una cultura DevSecOps e il 90% (83% in Italia) afferma che l’aumento dell’uso di AIOps sarà la chiave per ampliare queste pratiche.
Secondo la ricerca, il 99% delle organizzazioni italiane afferma che la trasformazione digitale ha subito un’accelerazione negli ultimi 12 mesi. Il 73% (78% globale) di loro rilascia degli aggiornamenti software in produzione ogni 12 ore o meno e il 44% (54%) afferma di farlo almeno una volta ogni due ore. In questo quadro, i team DevOps dedicano quasi un terzo (31% a livello globale, il 27% in Italia) del proprio tempo ad attività manuali che comportano il rilevamento di problemi di qualità del codice e vulnerabilità, riducendo il tempo dedicato all’innovazione. Inoltre il 51% (55%) delle organizzazioni afferma di scendere a compromessi tra qualità, sicurezza ed esperienza utente per soddisfare l’esigenza di una rapida trasformazione.
“È difficile per i team accelerare il ritmo dell’innovazione e allo stesso tempo mantenere i più alti standard di qualità e sicurezza”, dichiara Bernd Greifeneder, fondatore e chief technology officer di Dynatrace. “La distribuzione di software più frequente, combinata con architetture cloud-native complesse, rende più facile la possibilità di lasciarsi sfuggire errori e vulnerabilità in produzione, con un impatto sull’esperienza del cliente e creando dei rischi. Semplicemente, i team non hanno abbastanza tempo a disposizione per testare il codice in modo approfondito come quando avevano un’unica distribuzione mensile, ma non c’è margine di errore nell’economia ultra-competitiva e always-on di oggi. Qualcosa deve cambiare”.
Più fiducia nelle decisioni dell’IA e maggior cultura DevSecOps
Dal report emerge poi che le organizzazioni prevedono di aumentare la spesa per l’automazione tra sviluppo, sicurezza e operazioni del 35% entro il 2024, investendo maggiormente nel test continuo della qualità del software (54%) e della sicurezza (49% a livello globale, 34% in Italia) in produzione, nel rilevamento e blocco automatico delle vulnerabilità (41%, 44% in Italia) e nell’automazione della convalida dei rilasci (35%, il 25% in Italia).
Inoltre il 64% dei Cio italiani afferma di dover migliorare la fiducia nell’accuratezza delle decisioni dell’IA prima di poter automatizzare una parte maggiore della pipeline CI/CD, e il 99% (94% a livello globale) afferma che l’estensione della cultura DevSecOps a un maggior numero di team è fondamentale per accelerare la trasformazione digitale e per ottenere rilasci di software più rapidi e sicuri.
Eliminare i silos fra team per ridurre la vulnerabilità
“Le organizzazioni sanno che gli approcci manuali non sono scalabili”, continua Greifeneder. “I team non possono permettersi di perdere tempo per inseguire falsi positivi, cercare vulnerabilità ogni volta che viene lanciato l’allarme su una nuova minaccia o condurre analisi forensi per capire se i dati sono stati compromessi. Devono lavorare insieme per promuovere un’innovazione più rapida e sicura. L’automazione e le moderne pratiche di delivery, come DevSecOps, sono fondamentali a questo scopo, ma i team devono potersi fidare del fatto che la loro IA stia giungendo alle giuste conclusioni sugli impatti, in termini di rischio, correlati a una particolare vulnerabilità. Per raggiungere questo obiettivo, le organizzazioni necessitano di una piattaforma unificata in grado di far convergere i dati di osservabilità e sicurezza per eliminare i silos tra i team. Riunendo i dati e conservandone il contesto, i team DevOps e di sicurezza possono ottenere gli insights di cui hanno bisogno grazie all’IA causale. Questo consente loro di sfruttare l’automazione intelligente per fornire rapidamente applicazioni sicure e ad alte prestazioni che soddisfino gli utenti”.