Softwareentwickler und Betriebsteams setzen weiterhin DevOps und andere agile Methoden sowie Automatisierungs- und Low-Code-Dienste ein, haben aber immer noch mit Sicherheit, den Folgen der COVID-19-Pandemie und einem Mangel an qualifizierten Sicherheitsmitarbeitern zu kämpfen, so a neu veröffentlichte Jahresumfrage von GitLab.
Laut der Umfrage unter mehr als 5,000 Softwareentwicklern, Betriebsspezialisten und Experten für Anwendungssicherheit führt DevSecOps zu besserer Codequalität, höherer Entwicklerproduktivität und verbesserter betrieblicher Effizienz. Die Sicherheit ist jedoch immer noch ein Problem. Während mehr als die Hälfte (57 %) der Befragten Sicherheit als eine Leistungskennzahl betrachteten, sagte fast die gleiche Anzahl, es sei „schwierig, Entwickler dazu zu bringen, das Beheben von Code-Schwachstellen tatsächlich zu priorisieren“.
Die vom Toolchain-Anbieter durchgeführte Umfrage unterstreicht, dass alle am Entwicklungs- und Bereitstellungsprozess Beteiligten die Kommunikation und die Beziehungen zwischen den Gruppen noch verbessern müssen, sagt Johnathan Hunt, Vice President of Information Security and Cybersecurity bei GitLab.
„Entwickler und Sicherheitsexperten dazu zu bringen, besser zusammenzuarbeiten, erfordert einen kulturorientierten Ansatz für die Softwareentwicklung durch die Schaffung einer DevOps-Kultur“, sagt Hunt. „Eine DevOps-Plattform eignet sich gut für diesen Ansatz, indem sie Organisationen eine nahtlose Zusammenarbeit zwischen DevSecOps-Teams, gemeinsame Verantwortung für Sicherheit und Compliance und strategische Nutzung von Technologien wie Automatisierung und KI/ML ermöglicht.“
Mix and Match
Das Umfrage gefunden dass es keinen einzigen dominanten Ansatz für die Softwareentwicklung gibt und die meisten Teams eine Mischung aus Ansätzen verwenden. Während die Mehrheit der Entwicklungsteams (47 %) DevOps und DevSecOps verwendete, machten auch andere agile Ansätze einen erheblichen Anteil aus: 34 % der Teams verwendeten Scrum, 24 % Kanban und 29 % Lean-Methoden. Die Teams erweiterten sogar ihre Nutzung der Wasserfallentwicklung, wobei mehr als ein Viertel (26 %) diesen Ansatz übernahm.
„DevOps-Teams beschränken sich nicht auf eine bestimmte Arbeitsweise“, sagt Hunt. „Sie sind flexibel und bereit, ihre Vorgehensweise an verschiedene Geschäfts- und Projektanforderungen anzupassen.“
Die Zunahme agiler Ansätze für die Softwareentwicklung und -bereitstellung hat zu einer schnelleren Bereitstellung von Software geführt. Sieben von zehn Umfrageteilnehmern gaben an, dass ihre Teams mindestens alle paar Tage oder häufiger Bereitstellungen durchführen. ein Sprung von 11 Punkten ab 2021. Die Integration automatisierter Tests, Bereitstellung und Sicherheitskontrollen in die Entwicklungspipeline ist ein Schlüsselfaktor für die Beschleunigung der Anwendungsbereitstellung. Fast die Hälfte (47 %) der Teams geben an, dass ihre Tests heute vollständig automatisiert sind, gegenüber 25 % im Jahr 2021.
Die Einführung von Low-Code- und No-Code-APIs für die Entwicklung hat die Teams ebenfalls effizienter gemacht. Zwei Drittel (66 %) der Umfrageteilnehmer verwenden mindestens ein Low-Code- oder No-Code-Tool in ihrer DevOps-Praxis, eine deutliche Steigerung gegenüber den 25 % der Befragten im Jahr 2021.
Die wachsende Zahl an Optionen für die Entwicklung, Bereitstellung und Sicherung von Software hat jedoch zu mehr Verwirrung geführt und DevOps-Teams veranlasst, ihre Pipeline und Toolsets zu vereinfachen, so die Studie von GitLab. Während 44 % der DevOps-Teams zwei bis fünf Tools verwenden, um den Softwareentwicklungsprozess zu verwalten, verwenden 41 % zwischen sechs und 10 Tools.
„Das sind viele Tools, und 69 % der Umfrageteilnehmer sagten uns, dass sie ihre Toolchains gerne konsolidieren würden“, heißt es im Umfragebericht von GitLab.
KI und maschinelles Lernen „auf dem Vormarsch“
Technologien für künstliche Intelligenz und maschinelles Lernen haben bei Entwicklern und Spezialisten für Anwendungssicherheit eine gemischte Akzeptanz erfahren. Während KI/ML ganz unten auf der Prioritätenliste für die zukünftige Karriere von Entwicklern steht, sagte eine Mehrheit der Sicherheitsexperten (54 %), dass KI/ML ihnen in ihrer zukünftigen Karriere am meisten helfen wird. AI/ML eignet sich besonders für den Sicherheitsbereich. Beispielsweise können KI/ML-Systeme darauf trainiert werden, Bedrohungen zu erkennen und darauf zu reagieren, Warnungen zu generieren und Regelsätze auszulösen.
„Aber KI/ML ist weit davon entfernt, aus dem Radar der Entwickler zu fallen. Tatsächlich nimmt seine Nutzung zu“, sagt Hunt und fügt hinzu: „Dies ist besonders hilfreich, wenn es darum geht, Angriffe und böswillige Akteure zu erkennen und abzuwehren, da Sicherheitsexperten nicht jedes Paket und jede Verbindung überwachen können, die ein Netzwerk durchqueren.“
Sicherheit spielt weiterhin eine größere Rolle in der Softwareentwicklungspipeline, wobei 57 % der Unternehmen die Sicherheitsverantwortung „nach links“ verlagern und Entwickler stärker für die Schwachstellen in ihrem Code verantwortlich machen. Dennoch ist noch ein weiter Weg zu gehen, da eine beträchtliche Anzahl von Entwicklern die Sicherheit für Verzögerungen verantwortlich macht und die Aufteilung der Verantwortung für die Softwaresicherheit stark im Fluss ist.
„Während Entwickler und Ops einen größeren Anteil an der Sicherheit übernehmen, ist es für das Sicherheitsteam nicht so einfach“, heißt es in dem Bericht von GitLab. „In den Jahren 2020 und 2021 war der Prozentsatz der Sicherheitsexperten, die angaben, die volle Verantwortung für die Sicherheit zu tragen, ungefähr gleich hoch wie der Anteil derjenigen, die angaben, dass alle verantwortlich seien.“
