5 maneras en que DevSecOps puede gestionar las cadenas de suministro de software

El informe determina que varias prácticas de la cadena de suministro de software contribuyeron a esta reducción del riesgo, destacando las siguientes cinco como las más impactantes:

1. Desarrolle un programa de gobernabilidad: de acuerdo con el informe, el fundamento de esto es contar con algún tipo de políticas de gobernanza o estándares de código abierto, que señaló que entre las mejores organizaciones de DevSecOps en la gestión de componentes de riesgo, casi 3 de cada 4 tienen dichas políticas implementadas.
2. Tenga un proceso para evaluar y agregar nuevos componentes: como parte de esa política de código abierto, los mejores equipos tienen procesos estandarizados sobre cómo los desarrolladores agregan nuevos componentes de código abierto. Esto incluye cómo estos componentes son evaluados, aprobados, estandarizados, etc. Las organizaciones ejemplares tienen 11 veces más probabilidades de usar este tipo de proceso para nuevas dependencias.
3. Elimine proactivamente los componentes problemáticos: se descubren nuevas vulnerabilidades todos los días, por lo que simplemente evaluar una dependencia en su primera inclusión en una aplicación solo puede llevar a una organización hasta el momento. Las mejores organizaciones también toman la iniciativa de buscar fuentes potenciales de vulnerabilidades de código abierto en el código existente. Eso incluye buscar y eliminar de manera proactiva las dependencias vulnerables conocidas, así como reducir la superficie de ataque del código al eliminar las dependencias de código abierto que no se están utilizando. Las mejores organizaciones son 9.3 veces más propensas a hacerlo.
4. Trate de usar siempre las últimas versiones de los componentes: No hace falta decir que la última versión de cualquier componente tiene menos vulnerabilidades. El informe mostró que las versiones de componentes que tienen 3 años o más tienen una tasa de defectos del 65% más alta en comparación con los componentes más nuevos. Las organizaciones ejemplares se esfuerzan por usar las actualizaciones más recientes de todos sus componentes de código abierto y tienen 6.2 veces más probabilidades de hacerlo que otras organizaciones. Eso no sucede accidentalmente: estos equipos tienen 10 veces más probabilidades de programar dependencias de actualización como parte del trabajo diario de los equipos de DevSecOps.
5. Utilice la automatización de la aplicación: no basta con tener una política, las organizaciones necesitan hacer cumplir los estándares de código abierto para reducir el riesgo de manera significativa. El estudio mostró que las prácticas de DevOps combinadas con la aplicación automática de políticas aumentan la adherencia de los desarrolladores a los estándares en un 150%. Los equipos ejemplares con las tasas de defectos de código abierto más bajas tienen 12 veces más probabilidades de tener herramientas automatizadas para rastrear, administrar y / o garantizar el cumplimiento de las políticas de las dependencias de código abierto.

Todas estas mejores prácticas implican un menor riesgo de los componentes, así como un menor dolor para los equipos de DevSecOps, que tienen tres veces menos probabilidades de considerar el proceso de actualización de componentes como doloroso.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.