L'integrazione della sicurezza nell'approccio DevOps appare ancora difficile. Lo sottolinea Gartner in una recente nota destinata ai propri clienti. Di fatto, se le imprese adottano questa metodologia per migliorare la propria agilità, tanto i professionisti della sicurezza (77%) quanto quelli delle operations It (81%) stimano che team e policy di sicurezza rallentino la crescita.
Per soddisfare necessità diverse e per ora opposte, Gartner suggerisce di incorporare automaticamente controlli di sicurezza senza configurazione manuale su tutto il ciclo. Tuttavia, questa automazione non può essere possibile senza la buona volontà dei fornitori in soluzioni di sicurezza. Sotto questa prospettiva, l'analista raccomanda alle imprese di costringere i propri fornitori ad adattare interamente loro servizi di piattaforma alle Api ed esporre il 100% delle funzionalità in questo modo.
Dal punto di vista dei controlli di sicurezza, Gartner raccomanda per prima cosa l'integrazione della protezione degli accessi basata su ruoli, con il supporto di una soluzione di Identity & Access Management,  in modo tale che tutti sappiano cosa è possibile fare, dove e quando, in termini di sviluppo e implementazione dei servizi.
Al di là del controllo degli accessi, Gartner si occupa anche di sicurezza dei dati e raccomanda di formare gli sviluppatori alle best practice di codifica sicura, adottando tecniche che consentano di bloccare gli schemi d'attacco più comuni, come il bypass della memoria cache, Sql Injection e script. Altrettanto opportuno appare testare e analizzare il codice personalizzato, per cercare eventuali vulnerabilità e, per quanto possibile di basarsi anche su questo per le procedure di automazione. Più che bloccare tutto, si consiglia di concentrarsi su ciò che appare potenzialmente più critico. A questo si aggiunge la necessità di strutturare il processo DevOps per andare anche il contenuto di tutte le immagini di sistema.
Gartner, inoltre, suggerisce di controllare l'integrità dei sistemi e la validità delle configurazioni in occasione dei cambiamenti, di proteggere le infrastrutture ei servizi di produzione e di basarsi su white list per i sistemi di produzione, comprese le implementazioni basate su container.
Al di là di queste raccomandazioni, il cammino da percorrere appare ancora lungo. Secondo l'analista, infatti, meno del 10% delle imprese nel 2016 ha integrato l'analisi automatizzata delle configurazioni e delle vulnerabilità delle componenti di codice. Peraltro, il 70% delle iniziative DevOps dovrebbe aver proceduto a un'evoluzione in questa direzione entro i prossimi tre anni. Allo stesso modo, meno del 10% ha incorporato test di sicurezza applicativa sui codici personalizzati, ma la cifra è destinata a superare il 50% entro il 2019.