I CIO e i senior DevOps manager stanno guardando a processi DevSecOps e sicurezza del software, a convergenza di osservabilità e sicurezza e a un maggiore utilizzo di IA e automazione per bilanciare una rapida innovazione con l’affidabilità e la sicurezza.
Lo rilevano i risultati del Global CIO Report 2023, “Observability and Security Convergence: Enabling Faster, More Secure Innovation in the Cloud” resi noti da Dynatrace.
Condotto attraverso un sondaggio globale indipendente su 1.300 CIO e senior DevOps manager, di cui 100 italiani, che lavorano in grandi organizzazioni, il Rerpot ha evidenziato la maggiore difficoltà di mantenere l’affidabilità e la sicurezza del software poiché la richiesta di cicli di rilascio continui e la crescente complessità degli ambienti cloud-native aumentano il rischio che difetti e vulnerabilità non rilevati entrino in produzione.
Con un confronto tra risultati globali e italiani, la ricerca rivela quanto segue:
- Il 90% (99% in Italia) delle organizzazioni afferma che la trasformazione digitale ha subito un’accelerazione negli ultimi 12 mesi.
- Il 78% (73% in Italia) delle organizzazioni rilascia degli aggiornamenti software in produzione ogni 12 ore o meno e il 54% (44% in Italia) afferma di farlo almeno una volta ogni due ore.
- I team DevOps dedicano quasi un terzo (31% a livello globale, il 27% in Italia) del proprio tempo ad attività manuali che comportano il rilevamento di problemi di qualità del codice e vulnerabilità, riducendo il tempo dedicato all’innovazione.
- Il 55% (51% per l’Italia), delle organizzazioni scende a compromessi tra qualità, sicurezza ed esperienza utente per soddisfare l’esigenza di una rapida trasformazione.
- L’88% dei CIO (il 76% di quelli italiani) afferma che la convergenza delle pratiche di osservabilità e sicurezza sarà fondamentale per costruire una cultura DevSecOps e il 90% (83% in Italia) afferma che l’aumento dell’uso di AIOps sarà la chiave per ampliare queste pratiche.
Come sottolineato in una nota ufficiale Bernd Greifeneder, fondatore e Chief Technology Officer di Dynatrace: «È difficile per i team accelerare il ritmo dell’innovazione e allo stesso tempo mantenere i più alti standard di qualità e sicurezza. La distribuzione di software più frequente, combinata con architetture cloud-native complesse, rende più facile la possibilità di lasciarsi sfuggire errori e vulnerabilità in produzione, con un impatto sull’esperienza del cliente e creando dei rischi. Semplicemente, i team non hanno abbastanza tempo a disposizione per testare il codice in modo approfondito come quando avevano un’unica distribuzione mensile, ma non c’è margine di errore nell’economia ultra-competitiva e always-on di oggi. Qualcosa deve cambiare».
Ulteriori risultati dell’indagine su DevSecOps e sicurezza del software includono:
- Le organizzazioni prevedono di aumentare la spesa per l’automazione tra sviluppo, sicurezza e operazioni del 35% entro il 2024, investendo maggiormente nel test continuo della qualità del software (54%) e della sicurezza (49% a livello globale, 34% in Italia) in produzione, nel rilevamento e blocco automatico delle vulnerabilità (41%, 44% in Italia) e nell’automazione della convalida dei rilasci (35%, il 25% in Italia).
- Il 70% dei CIO (64% di quelli italiani) afferma di dover migliorare la fiducia nell’accuratezza delle decisioni dell’IA prima di poter automatizzare una parte maggiore della pipeline CI/CD.
- Il 94% (99% in Italia) dei CIO afferma che l’estensione della cultura DevSecOps a un maggior numero di team è fondamentale per accelerare la trasformazione digitale e per ottenere rilasci di software più rapidi e sicuri.
Come concluso da Greifeneder: «Le organizzazioni sanno che gli approcci manuali non sono scalabili. I team non possono permettersi di perdere tempo per inseguire falsi positivi, cercare vulnerabilità ogni volta che viene lanciato l’allarme su una nuova minaccia o condurre analisi forensi per capire se i dati sono stati compromessi. Devono lavorare insieme per promuovere un’innovazione più rapida e sicura. L’automazione e le moderne pratiche di delivery, come DevSecOps, sono fondamentali a questo scopo, ma i team devono potersi fidare del fatto che la loro IA stia giungendo alle giuste conclusioni sugli impatti, in termini di rischio, correlati a una particolare vulnerabilità. Per raggiungere questo obiettivo, le organizzazioni necessitano di una piattaforma unificata in grado di far convergere i dati di osservabilità e sicurezza per eliminare i silos tra i team. Riunendo i dati e conservandone il contesto, i team DevOps e di sicurezza possono ottenere gli insights di cui hanno bisogno grazie all’IA causale. Questo consente loro di sfruttare l’automazione intelligente per fornire rapidamente applicazioni sicure e ad alte prestazioni che soddisfino gli utenti».
