دراسة عالمية أجرتها Checkmarx تكشف عن زيادة معرفة المطورين ببواطن أمور آليات أمان التطبيقات، في ظل استمرار مواجهة معضلة الوقت المستهلك في إرساء آليات الأمان

أصدرت اليوم شركة Checkmarx تقريرها البحثي العالمي، بعنوان "تطور DevSecOps: من DevEx إلى DevSecOps"، الذي تناول بالدراسة الممارسات الحالية لفِرق التطوير في المؤسسات الكبيرة في غمار سعيها إلى الوصول إلى حالة من النضج على صعيد التطوير والأمان والعمليات (DevSecOps). وقد توصل استطلاع الرأي إلى أن فِرق التطوير والأمان تحقق تقدمًا ملحوظًا في ما يتعلق بتطور DevSecOps، لكنها ما زالت تسعى إلى تحقيق التوافق بشأن سير العمل والمقاييس.

صرح Martin Lindsay، نائب رئيس قسم التسويق الإقليمي في Checkmarx، قائلاً: "إن الزيادة الهائلة في عدد فِرق التطوير وأنظمة DevOps الفاعلة داخل المؤسسات الكبيرة تُظهر مدى أهمية اعتماد فريق DevOps وفريق الأمان لثقافة مشتركة تيسر سبل التعاون الناجح". "في ظل وضع هدف نهائي متمثل في تقديم كود برمجي عالي الأداء، والذي يعد بحكم طبيعته كودًا آمنًا، يجد هذان الفريقان أن تحسين تجربة المطورين وضمان أمان التطبيقات ما هو إلا خطوة أولى، وأن آليات الأمان لا بد أن تجد طريقة لمواكبة وتيرة التطور السريع."

أظهرت النتائج الرئيسية المستمدة من بحث تطور DevSecOps زيادة في ثقة المطورين العاملين في المؤسسات الكبرى في ما يتعلق بالمعارف التي اكتسبوها من التدريب على تطبيق آليات الأمان، وأنهم يقضون وقتًا كبيرًا في تنفيذ المهام المتعلقة بإرساء قواعد الأمان:

• أفاد 21% من المطورين الذين شملهم الاستطلاع أن الأمان يأتي على رأس الأولويات بالنسبة لهم عند كتابة الأكواد البرمجية.
•  يتمتع 99.6% من المطورين بفرصة للتدريب على تطبيق آليات الأمان
  • ومن بين هؤلاء، صنف 90% منهم فعالية التدريب الذي يتلقونه على أنها متوسطة أو عالية.
• أفاد 41.53% من المطورين المشاركين في الاستطلاع أنهم يفهمون جيدًا تقارير الثغرات الأمنية التي يتلقونها، فضلاً عن آلية ظهور الثغرات في أثناء وقت التشغيل، وذلك بنسبة 41% إلى 60% من الوقت.
• يقضي 72% من المطورين أكثر من 17 ساعة أسبوعيًا في تنفيذ المهام المتعلقة بالأمان، ويقضي واحد من كل أربعة منهم أكثر من 25 ساعة.

يتتبع نموذج Checkmarx DevSecOps Maturity Model عملية انتقال المؤسسات من منهج DevOps التقليدي إلى DevSecOps، على أربع مراحل:

•  المرحلة 0 – الأمان التفاعلي: يتم "إدراج" نظام AppSec بشكل مفاجئ في عملية التطوير، ما يؤدي إلى إنشاء عائق يعرقل عملية التفعيل.
•  المرحلة 1 – التركيز على الأمان: يرصد نظام AppSec الثغرات الأمنية ويوجهها إلى المطورين، الذين يتلقون تنبيهات كثيرة، لكن من دون تقديم إرشادات واضحة حول كيفية معالجة أو إصلاح هذه الثغرات.
•  المرحلة 2 – التركيز على تجربة المطورين (DevEx): يتم دمج الأدوات في بيئة التطوير المتكاملة (IDE)، ما يتيح للمطورين إصلاح الثغرات الأمنية باستخدام إرشادات المعالجة من دون تأثير يُذكر على سير العمل.
•  المرحلة 3 – نظام DevSecOps فاعل: أصبحت ثقافة DevSecOps راسخة الآن؛ إذ تتفق فِرق الأمان والتطوير على السياسات وآليات الحوكمة والتعاون؛ إلى جانب أن التدريب يتم توفيره عند الحاجة وداخل بيئة التطوير المتكاملة (IDE)؛ فضلاً عن أن الأهداف والمقاييس محددة ومتوافقة.

توصلت دراسة Checkmarx إلى أن معظم المؤسسات الكبيرة تعمل على تطبيق نظام DevSecOps فاعل والالتزام بتحقيق ذلك:

• لم يعد يقتصر تركيز 30% في المؤسسات على تجربة المطورين فحسب، بل أصبحت تطور عمليات أكثر تقدمًا.
• تعمد 28.3% من المؤسسات إلى تتبع متوسط الوقت اللازم للمعالجة كمؤشر قياس.
• تقيس 45% منها مستوى أمان الأكواد البرمجية.
• تعمد 46.27% منها إلى تتبع القدرة على الوفاء بالمواعيد النهائية.

لم يصل السوق إلى مستوى النضج الكامل بعد، وتكشف دراسة Checkmarx أنه لا يوجد حتى الآن التزام واضح بالممارسات المثلى المعتمدة لتنفيذ وقياس فعالية DevSecOps. وعلى الرغم من أن المؤسسات قد أحرزت تقدمًا ملحوظًا، فإنه ما زال يتعين عليها تحقيق المزيد من التقدم.

 المنهجية

تتألف مجموعة البحث من 1500 من رؤساء أقسام التطوير، ومهندسي المنصات ومطوريها/مهندسي البرمجيات في المؤسسات الكبيرة التي تتجاوز إيراداتها السنوية 750,000,000 دولار أمريكي في كل أنحاء أمريكا الشمالية (الولايات المتحدة الأمريكية)، وأوروبا (المملكة المتحدة وفرنسا وألمانيا والنمسا وسويسرا)، ومنطقة آسيا والمحيط الهادئ (أستراليا ونيوزيلندا وسنغافورة). أجرت البحث الميداني Censuswide في شهر ديسمبر من عام 2024، وتجدر هنا الإشارة إلى أن Censuswide تمتثل بقواعد جمعية أبحاث السوق، التي تعتمد على مبادئ ESOMAR، وتوظف أعضاء منها.