توسعهدهندگان نرمافزار و تیمهای عملیاتی همچنان به استفاده از DevOps و سایر متدولوژیهای چابک و همچنین اتوماسیون و سرویسهای کمکد ادامه میدهند، اما طبق یک گزارش، همچنان با امنیت، پیامدهای همهگیری COVID-19 و کمبود نیروهای امنیتی ماهر دست و پنجه نرم میکنند. نظرسنجی سالانه جدید منتشر شده از GitLab.
بر اساس نظرسنجی بیش از 5,000 توسعهدهنده نرمافزار، متخصصان عملیات و متخصصان امنیت برنامهها، DevSecOps منجر به کیفیت کد بهتر، بهرهوری بیشتر توسعهدهنده و بهبود کارایی عملیاتی میشود. با این حال، امنیت هنوز یک مشکل است. در حالی که بیش از نیمی (57٪) از افراد مورد بررسی، امنیت را یک معیار عملکردی میدانستند، تقریباً همین تعداد گفتند که "سخت است که برنامهنویسها واقعاً آسیبپذیریهای کد را در اولویت قرار دهند."
جاناتان هانت، معاون امنیت اطلاعات و امنیت سایبری در GitLab میگوید، نظرسنجی انجامشده توسط ارائهدهنده زنجیره ابزار تأکید میکند که همه شرکتکنندگان در فرآیند توسعه و استقرار هنوز باید ارتباطات و روابط بین گروهها را بهبود بخشند.
هانت میگوید: «برداشتن توسعهدهندگان و متخصصان امنیتی برای همکاری بهتر با یکدیگر نیازمند یک رویکرد فرهنگسازی برای توسعه نرمافزار از طریق ایجاد فرهنگ DevOps است. پلتفرم DevOps با اعطای همکاری یکپارچه بین تیمهای DevSecOps، مالکیت مشترک امنیت و انطباق، و استفاده استراتژیک از فناوریهایی مانند اتوماسیون و AI/ML، به خوبی به این رویکرد کمک میکند.
ترکیب و مطابقت
La بررسی یافت که هیچ رویکرد غالب واحدی برای توسعه نرم افزار وجود ندارد و اکثر تیم ها از ترکیبی از رویکردها استفاده می کنند. در حالی که اکثر تیم های توسعه (47٪) از DevOps و DevSecOps استفاده می کردند، سایر رویکردهای چابک نیز سهم قابل توجهی را به خود اختصاص دادند: 34٪ از تیم ها از Scrum، 24٪ از Kanban و 29٪ از روش های Lean استفاده کردند. تیم ها حتی استفاده از توسعه آبشار را گسترش دادند و بیش از یک چهارم (26٪) این رویکرد را اتخاذ کردند.
هانت میگوید: «تیمهای DevOps خود را به هیچ روشی محدود نمیکنند. "آنها انعطاف پذیر هستند و مایلند رویکردهای خود را برای برآورده کردن نیازهای مختلف کسب و کار و پروژه تنظیم کنند."
افزایش رویکردهای چابک برای توسعه و استقرار نرم افزار منجر به استقرار سریعتر نرم افزار شده است. از هر 10 پاسخ دهندگان نظرسنجی، هفت نفر گفتند که تیم های آنها حداقل هر چند روز یک بار یا بیشتر مستقر می شوند. جهش 11 امتیازی نسبت به سال 2021. ادغام تست، استقرار و کنترلهای امنیتی خودکار در خط لوله توسعه یک عامل کلیدی در سرعت بخشیدن به استقرار برنامهها است، به طوری که تقریباً نیمی (47٪) از تیمها ادعا میکنند که آزمایش آنها امروز کاملاً خودکار است، از 25٪ در سال 2021.
استفاده از APIهای کمکد و بدون کد برای توسعه نیز تیمها را کارآمدتر کرده است. دو سوم (66%) از نظرسنجیکنندگان از حداقل یک ابزار کمکد یا بدون کد در تمرین DevOps خود استفاده میکنند، که نسبت به 25% افرادی که در سال 2021 مورد بررسی قرار گرفتند، افزایش قابل توجهی داشته است.
تحقیقات GitLab نشان میدهد که با این وجود، افزایش تعداد گزینهها برای توسعه، استقرار و ایمنسازی نرمافزار منجر به سردرگمی بیشتر شده است و تیمهای DevOps را به دنبال سادهسازی خط لوله و مجموعههای ابزار خود کرده است. در حالی که 44 درصد از تیم های DevOps از دو تا پنج ابزار برای مدیریت فرآیند توسعه نرم افزار استفاده می کنند، 41 درصد از شش تا 10 ابزار استفاده می کنند.
GitLab در گزارش نظرسنجی اعلام کرد: «این ابزارهای زیادی است و 69 درصد از نظرسنجیکنندگان به ما گفتند که مایلند زنجیرههای ابزار خود را یکپارچه کنند.
هوش مصنوعی و یادگیری ماشینی «در حال افزایش»
فناوریهای هوش مصنوعی و یادگیری ماشینی در میان توسعهدهندگان و متخصصان امنیت برنامهها مورد استقبال قرار گرفتهاند. در حالی که AI/ML در انتهای لیست اولویتهای شغلی آینده توسعهدهندگان قرار دارد، اکثر متخصصان امنیتی (54٪) گفتند که AI/ML بیشترین کمک را به آنها در آینده شغلی خواهد کرد. AI/ML به ویژه برای حوزه امنیتی مناسب است. برای مثال، سیستمهای AI/ML را میتوان برای شناسایی و پاسخ به تهدیدات، تولید هشدارها و راهاندازی مجموعههای قوانین آموزش داد.
اما هوش مصنوعی/ML با رادارهای توسعه دهندگان فاصله زیادی دارد. در واقع، استفاده از آن در حال افزایش است،” هانت میگوید: “این امر به ویژه در مورد شناسایی و دفاع در برابر حملات و عوامل مخرب مفید است، زیرا متخصصان امنیتی نمیتوانند هر بسته و اتصالی را که از یک شبکه عبور میکند تماشا کنند.”
امنیت همچنان نقش بزرگتری در خط لوله توسعه نرمافزار ایفا میکند، به طوری که 57 درصد از شرکتها مسئولیت امنیتی را به سمت چپ تغییر میدهند و توسعهدهندگان را مسئول بیشتری در قبال آسیبپذیریهای کدشان میکنند. با این حال هنوز راههایی در پیش است و تعداد قابلتوجهی از توسعهدهندگان امنیت را به دلیل تاخیر و تقسیم مسئولیت امنیت نرمافزار سرزنش میکنند.
GitLab در این گزارش اظهار داشت: «در حالی که توسعهدهندگان و عملیاتها سهم بیشتری از مالکیت امنیت را به خود اختصاص میدهند، این موضوع در تیم sec چندان ساده نیست. در سالهای 2020 و 2021، درصدی از متخصصان امنیتی که میگویند مسئولیت کامل امنیت را بر عهده دارند، تقریباً با کسانی که میگویند همه مسئول هستند یکسان بود.»