A szoftverfejlesztők és az üzemeltetési csapatok továbbra is alkalmazzák a DevOps-ot és más agilis módszereket, valamint az automatizálást és az alacsony kódú szolgáltatásokat, de továbbra is küzdenek a biztonsággal, a COVID-19 világjárvány következményeivel és a képzett biztonsági dolgozók hiányával. a GitLab újonnan közzétett éves felmérése.
A DevSecOps jobb kódminőséget, magasabb fejlesztői termelékenységet és jobb működési hatékonyságot eredményez a több mint 5,000 szoftverfejlesztő, üzemeltetési szakember és alkalmazásbiztonsági szakember körében végzett felmérés szerint. A biztonság azonban továbbra is probléma. Míg a megkérdezettek több mint fele (57%) a biztonságot tekinti teljesítménymutatónak, közel ugyanennyien azt mondták, hogy „nehéz rávenni a fejlesztőket arra, hogy valóban prioritásként kezeljék a kód sebezhetőségeinek javítását”.
Az eszközlánc-szolgáltató által végzett felmérés rávilágít arra, hogy a fejlesztési és telepítési folyamat minden résztvevőjének még javítania kell a csoportok közötti kommunikáción és kapcsolatokon – mondta Johnathan Hunt, a GitLab információbiztonsági és kiberbiztonsági alelnöke.
„A fejlesztők és a biztonsági szakemberek jobb együttműködésére való rábírásához a szoftverfejlesztés kultúra-első megközelítésére van szükség a DevOps kultúra létrehozásán keresztül” – mondja Hunt. „Egy DevOps platform jól illeszkedik ehhez a megközelítéshez azáltal, hogy zökkenőmentes együttműködést biztosít a szervezetek számára a DevSecOps csapatok között, közös tulajdonjogot biztosít a biztonság és a megfelelőség terén, valamint olyan technológiák stratégiai felhasználását, mint az automatizálás és az AI/ML.”
Keverd össze és párosítsd
A felmérés található hogy a szoftverfejlesztésnek nem létezik egyetlen domináns megközelítése, és a legtöbb csapat többféle megközelítést alkalmaz. Míg a fejlesztőcsapatok többsége (47%) DevOps-ot és DevSecOps-ot használt, más agilis megközelítések is jelentős részarányt képviseltek: a csapatok 34%-a Scrumot, 24%-a Kanbant, 29%-a pedig Lean módszertant. A csapatok kibővítették a Waterfall fejlesztés használatát, és több mint egynegyedük (26%) alkalmazta ezt a megközelítést.
„A DevOps-csapatok nem korlátozzák magukat egyetlen munkamódszerre sem” – mondja Hunt. „Rugalmasak, és hajlandóak hozzáigazítani hozzáállásukat a különféle üzleti és projektigényekhez.”
A szoftverfejlesztés és -telepítés agilis megközelítéseinek növekedése a szoftverek gyorsabb telepítését eredményezte. A felmérés 10 válaszadójából hét azt mondta, hogy csapataik néhány naponta legalább egyszer, vagy gyakrabban telepítenek. 11 pontos ugrás 2021-hez képest. Az automatizált tesztelés, a telepítés és a biztonsági ellenőrzések fejlesztési folyamatba való integrálása kulcsfontosságú tényező az alkalmazások üzembe helyezésének felgyorsításában, és a csapatok közel fele (47%) azt állítja, hogy a tesztelés ma teljesen automatizált, szemben a 25-es 2021%-kal.
Az alacsony kódú és kód nélküli API-k fejlesztési alkalmazásának köszönhetően a csapatok hatékonyabbá váltak. A felmérést kitöltők kétharmada (66%) legalább egy alacsony kódú vagy kód nélküli eszközt használ DevOps gyakorlatában, ami jelentős növekedés a 25-ben megkérdezettek 2021%-ához képest.
A fejlesztési, telepítési és szoftverbiztonsági lehetőségek bővülése azonban még nagyobb zűrzavart eredményezett, ami arra késztette a DevOps csapatokat, hogy egyszerűsítsék folyamataikat és eszközkészleteiket – állapította meg a GitLab tanulmánya. Míg a DevOps csapatok 44%-a 41-10 eszközt használ a szoftverfejlesztési folyamat kezelésére, XNUMX%-a XNUMX és XNUMX közötti eszközt használ.
„Ez nagyon sok eszköz, és a felmérésben részt vevők 69%-a azt mondta, hogy szeretné konszolidálni az eszközláncát” – szögezte le a GitLab a felmérés jelentésében.
Az AI és a gépi tanulás „feljövőben”
A mesterséges intelligencia és a gépi tanulási technológiák vegyesen terjedtek el a fejlesztők és az alkalmazásbiztonsági szakemberek körében. Míg az AI/ML a fejlesztők jövőbeli karrierje szempontjából a prioritások listájának végén van, a biztonsági szakemberek többsége (54%) azt mondta, hogy az AI/ML fogja leginkább segíteni jövőbeli karrierjükben. Az AI/ML különösen megfelel a biztonsági tartománynak. Például az AI/ML rendszerek megtaníthatók a fenyegetések észlelésére és reagálására, riasztások generálására és szabálykészletek aktiválására.
„De az AI/ML messze nem esik le a fejlesztők radarjairól. Valójában a használata egyre növekszik” – mondja Hunt, és hozzáteszi: „Ez különösen hasznos a támadások és rosszindulatú szereplők észlelésében és az ellenük való védekezésben, mivel a biztonsági szakemberek nem tudnak minden hálózatot átszelő csomagot és kapcsolatot figyelni.”
A biztonság továbbra is nagyobb szerepet tölt be a szoftverfejlesztési folyamatban, a cégek 57%-a „balra” hárítja a biztonsági felelősséget, és nagyobb felelősséget vállal a fejlesztők kódjában található sebezhetőségekért. Ennek ellenére még mindig van mit tenni, a fejlesztők jelentős része a biztonságot okolja a késésekért, és a szoftverbiztonsággal kapcsolatos felelősség megosztása nagyon változó.
„Míg a fejlesztők és az operációs rendszerek nagyobb részt vesznek át a biztonsági tulajdonjogból, ez nem olyan egyszerű a sec csapatnál” – szögezte le a GitLab a jelentésben. „2020-ban és 2021-ben a biztonsági szakemberek aránya, akik azt mondták, hogy teljes mértékben felelősek a biztonságért, nagyjából ugyanannyi volt, mint azok, akik szerint mindenki felelős.”
