È tutta una questione di cultura, non di conoscenza. Un sondaggio sui DevSecOps di Sonatype descrive la qualità delle applicazioni oggi.

Sonatype, l’azienda che tra le altre cose sviluppa Nexus, ormai il repository manager standard de facto, ha pubblicato i risultati di un sondaggio condotto all’interno della community di DevSecOps, una figura di cui abbiamo parlato che sta sempre più emergendo come essenziale nel contesto moderno della gestione e sviluppo di applicazioni.

L’esito del sondaggio, che è scaricabile previa registrazione, ha visto coinvolte più di cinquemila persone provenienti da tutto il mondo (nota: nella top 10 dei paesi partecipanti l’Italia non figura) ed impegnate principalmente nell’ambito IT come DevOps, sviluppatori o architect.

Il tipo di applicazioni sviluppato dai partecipanti è nella sostanza di quattro tipologie: la maggioranza sono applicazioni web, poi vengono i microservice ed infine l’ultima fetta è condivisa tra le applicazioni desktop ed i dispositivi mobili.

Alcune delle risposte alle domande sono molto rappresentative del momento che sta vivendo il mondo IT, infatti alla domanda “How mature is your adoption of DevOps practices?” la metà degli intervistati ha risposto “Immature” (il 49% per la precisione) mentre il 36% ha risposto “Improving“. Solamente il 15% ha risposto “Mature“, sintomo che la sensazione generale sia che la strada da fare in questo senso sia ancora tanta.

Altro aspetto interessante riguarda i deploy in produzione, oltre la metà dei partecipanti ha asserito di effettuare deploy in produzione almeno una volta a settimana, con la maggioranza di questa fatta che effettua deploy più di una volta.

Altro dato rilevante, la questione sicurezza (su cui poi in fondo è titolato il sondaggio), tra tutti i vari tool utilizzati per proteggersi, le analisi di sicurezza del codice nel caso di storie di successo sono una percentuale consistente, che viene ribaltata nei fallimenti: quando le cose vanno male la sicurezza è stata lasciata da parte. Non solo, quanto emerge dal sondaggio racconta di come la pressione e la velocità richieste su certi tipi di deploy (“Urgente!” nell’oggetto delle email) sono inversamente proporzionali alla qualità del codice prodotto e, soprattutto, alla sua sicurezza.

Un altro interessante aspetto che emerge dal sondaggio è la modalità di formazione di chi si deve occupare della sicurezza. È chiaro come la tendenza stia virando decisamente verso l’e-learning. La netta maggioranza dei partecipanti ha affermato come la disponibilità principale di formazione sia di tipo e-learning auto gestito, con una percentuale minima (il 7%) guidata da istruttori. Insomma, chi fa da se…

Senza voler descrivere l’intero sondaggio, che vi lasciamo il piacere di consultare con calma, un messaggio emerge evidente da tutta l’analisi: pensare di limitare il proprio operato alla sola applicazione, oggi, è inconcepibile. D’altro canto pretendere di essere esperti sulla totalità dello stack, dal sistema all’erogazione è altrettanto impensabile.

Perciò, come ne si esce?

Il sondaggio non da risposte chiare in questo senso e non penso di averle nemmeno io che sto scrivendo questo articolo, ma una cosa è certa, il miglioramento dei cicli di sviluppo, dell’efficienza e della sicurezza delle applicazioni è ormai principalmente una questione culturale.

Non è quindi l’esperienza tutto campo ad essere un requisito fondamentale, quanto più la coscienza dell’ambiente in cui ci si muove, anche perché le falle di sicurezza più eclatanti non sono mai complicate, tutto alla fine nasce da un post it appeso al monitor con la password scritta a penna.

Questione di cultura.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Tags: , , , , ,