«Cada pocos años aparecen idiomas más nuevos y esto definitivamente aumenta la complejidad», dijo Rajamani. “Por ejemplo, Golang y Rust se han vuelto populares en los últimos dos o tres años. Las herramientas utilizadas para las revisiones de seguridad y la búsqueda de vulnerabilidades de las aplicaciones no siempre son lo suficientemente maduras para soportar nuevos lenguajes y generalmente necesitan tiempo para ponerse al día”.
La documentación suele ser un punto conflictivo, independientemente del idioma. Si bien el 71 % de las organizaciones informaron que publican actualizaciones de aplicaciones al menos una vez por semana, los equipos todavía utilizan documentación manual (74 %) y hojas de cálculo (68 %) para catalogar e inventariar sus aplicaciones y API. La excesiva dependencia de los esfuerzos manuales, señala el estudio, abre estas prácticas a errores.
El estudio también reveló una falta de atención a las revisiones de seguridad.
La seguridad requiere más apoyo
Los encuestados estimaron que, en promedio, solo el 54 % de los cambios de código importantes se someten a una revisión de seguridad completa antes de implementarlos en producción, y el 22 % de los encuestados revisa el 24 % o menos de los cambios de código.
Ese hallazgo no sorprendió a la analista senior de Forrester, Janet Worthington.
«La nube, los contenedores y las herramientas DevOps han permitido a los equipos de desarrollo de productos implementar con mayor frecuencia», afirmó Worthington. “Los equipos ahora pueden publicar mensualmente, semanalmente, diariamente e incluso cada hora en algunos casos. Teniendo en cuenta el número limitado de profesionales de seguridad en comparación con el número de desarrolladores, es imposible que los equipos de seguridad revisen manualmente todos los cambios de código”.