DevSecOps? Shift-Left? Macché, un sondaggio dimostra che le aziende rilasciano volutamente codice insicuro per fare prima

Raoul Scarazzini

I sondaggi sono una bella cosa. Danno un’idea precisa, per quanto limitata a gruppi ridotti di persone, di quelli che sono i trend di un’industria, ed in genere quelli rivolti agli operatori sono i più veritieri perché di fatto chi vi risponde non ha nulla da perdere o da preservare, semplicemente descrive la realtà che sta vivendo.

I sondaggi possono essere deprimenti. Quello che raccontiamo oggi poi, 1H 2025 Cybersecurity Decision Maker Survey, condotto da Futurum e riassunto nell’articolo How Are Cyber Incidents Reshaping Enterprise Security Technology Needs? contiene dettagli che, alla meglio, fanno scuotere il capo.

Il riassunto principale è dato in questa immagine:

La quale dà sì una fotografia chiara, ossia il fatto che la sicurezza non va mai messa al secondo posto nelle strategie aziendali, ma non dice tutto.

Condotto negli Stati Uniti su un campione di 250 decision maker, ossia persone che definiscono le strategie di sicurezza e si accertano che vengano applicate, riporta dati in linea con quello che vediamo quotidianamente: l’80% degli intervistati ha rilevato almeno un incidente di sicurezza nell’ultimo anno che ha comportato perdita di dati o disservizi operativi e le categorie degli attacchi sono equamente distribuite tra cloud, furti e ransomware.

Ma non finisce qui, poiché uno dei dati non riportati nel riassunto riguarda il 62% dei rispondenti che ha dichiarato di rilasciare consapevolmente codice insicuro in produzione per far fronte alle scadenze.

Già questo potrebbe bastare a chiudere l’articolo, ma altri numeri motivano quanto illustrato. Infatti quasi il 90% degli intervistati lavora per organizzazioni che allocano solo tra l’11-20% dei budget per la sicurezza delle applicazioni. Solo l’1% investe più del 20% del budget totale per la sicurezza delle applicazioni.

Lo shift-left, ossia il posizionamento della sicurezza nelle fasi di pianificazione dello sviluppo delle applicazioni – di cui da sempre siamo tifosi – è adottato consapevolmente da un misero 36%, un abbondante 57% fa l’opposto (anche se non esiste, fortunatamente, il concetto di shift-right), considerando la sicurezza poco prima dell’implementazione.

Aaron Cure, direttore della sicurezza informatica per Cypress Data Defense, che ha condotto il sondaggio, intervistato da DevClass ha analizzato il problema in un’intervista che, se avete voglia di farvi deprimere un poco, vale la pena vedere.

Altro da aggiungere?

Forse un consiglio. Certi sondaggi andrebbero stampati ed appesi nei corridoi, invece che consultati mentre si sta cercando di trattare il riscatto del prossimo ransomware.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, , , , ,

2 risposte a “DevSecOps? Shift-Left? Macché, un sondaggio dimostra che le aziende rilasciano volutamente codice insicuro per fare prima”

  1. Avatar JustATiredMan
    JustATiredMan

    E' assolutamente vero, sopratutto con le scadenze, non sapete le porcherie che rilasciano…

  2. Avatar Roberto Rossi
    Roberto Rossi

    Oggi vorrei spezzare una lancia a favore delle aziende produttrici di software, e non solo. In questo caso voglio parlare della realtà italiana. Una realtà fatta quasi completamente di medie(poche), piccole, piccolissime e micro imprese. Una delle cose che bisogna sempre considerare sono le componenti che portano allo sviluppo di un prodotto.
    Qualcuno potrebbe pensare che la parte più importante dello sviluppo di un prodotto sia stabilirne le caratteristiche (tutte, comprese la sicurezza). Questo è falso. La parte più importante nello sviluppo di un prodotto risiede nella domanda "Di quante risorse disponiamo per realizzare questo prodotto?". E con "risorse" intendo tempo, soldi, persone. Tutto dipende da questo. Le caratteristiche del prodotto andranno bilanciate in base alle risorse disponibili, che sono finite(limitate). Il prodotto dovrà essere concorrenziale e sicuro il più possibile. Ovviamente privilegiare una caratteristica, inevitabilmente, sottrarrà risorse alle altre. Questo è ciò che accade in una azienda che produce per vivere.

    Poi ci sono attività che non seguono questa linea e che si mangiano risorse infischiandosene dei risultati, ad esempio la "scienza" legata alla fusione nucleare. Ma questo è un altro discorso.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
KPA
Kubelab
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (12) Notizie (3222) Saturday's Talks (54)

Tag cloud

ai (76) AlmaLinux (34) Android (34) Bug (81) Canonical (86) CentOS (48) Cloud (63) container (52) Controversia (45) Debian (103) desktop (34) docker (65) Fedora (63) Firefox (37) GitHub (76) Gnome (35) Google (88) IBM (56) Intel (56) KDE (42) Kernel (263) Kubernetes (99) Linux (762) LTS (36) Malware (67) Microsoft (194) MicrosoftLovesLinux (37) Mozilla (37) open-source (417) Openstack (58) Oracle (35) Patch (36) Red Hat (176) Release (65) RHEL (44) Rust (39) SaturdaysTalks (52) Sicurezza (116) Software (42) SUSE (42) systemd (78) Torvalds (94) Ubuntu (180) Vulnerabilità (69) Windows (85)