Pengembang perangkat lunak dan tim operasi terus mengadopsi DevOps dan metodologi gesit lainnya serta otomatisasi dan layanan kode rendah, tetapi mereka masih berjuang dengan keamanan, dampak pandemi COVID-19, dan kekurangan pekerja keamanan yang terampil, menurut a survei tahunan yang baru diterbitkan dari GitLab.
DevSecOps menghasilkan kualitas kode yang lebih baik, produktivitas pengembang yang lebih tinggi, dan peningkatan efisiensi operasional, menurut survei terhadap lebih dari 5,000 pengembang perangkat lunak, spesialis operasi, dan profesional keamanan aplikasi. Namun, keamanan masih menjadi masalah. Sementara lebih dari setengah (57%) dari mereka yang disurvei menganggap keamanan sebagai metrik kinerja, jumlah yang hampir sama mengatakan "sulit untuk membuat pengembang benar-benar memprioritaskan memperbaiki kerentanan kode."
Survei yang dilakukan oleh penyedia toolchain menggarisbawahi bahwa semua peserta dalam proses pengembangan dan penerapan masih perlu meningkatkan komunikasi dan hubungan antar kelompok, kata Johnathan Hunt, wakil presiden keamanan informasi dan keamanan siber di GitLab.
“Membuat pengembang dan profesional keamanan bekerja sama dengan lebih baik membutuhkan pendekatan budaya pertama untuk pengembangan perangkat lunak melalui penciptaan budaya DevOps,” kata Hunt. “Platform DevOps cocok untuk pendekatan ini dengan memberi organisasi kolaborasi tanpa batas di seluruh tim DevSecOps, kepemilikan bersama atas keamanan dan kepatuhan, dan penggunaan teknologi strategis seperti otomatisasi dan AI/ML.”
Mix and Match
Grafik survei ditemukan bahwa tidak ada pendekatan dominan tunggal untuk pengembangan perangkat lunak, dan sebagian besar tim menggunakan campuran pendekatan. Sementara sebagian besar tim pengembangan (47%) menggunakan DevOps dan DevSecOps, pendekatan tangkas lainnya juga berkontribusi signifikan: 34% tim menggunakan Scrum, 24% menggunakan Kanban, dan 29% menggunakan metodologi Lean. Tim bahkan memperluas penggunaan pengembangan Waterfall, dengan lebih dari seperempat (26%) mengadopsi pendekatan itu.
“Tim DevOps tidak membatasi diri pada satu cara kerja saja,” kata Hunt. “Mereka fleksibel dan bersedia menyesuaikan pendekatan mereka untuk memenuhi berbagai kebutuhan bisnis dan proyek.”
Peningkatan pendekatan tangkas untuk pengembangan dan penyebaran perangkat lunak telah menghasilkan penyebaran perangkat lunak yang lebih cepat. Tujuh dari 10 responden survei mengatakan tim mereka dikerahkan setidaknya sekali setiap beberapa hari atau lebih sering, lompatan 11 poin dari 2021. Mengintegrasikan pengujian otomatis, penerapan, dan kontrol keamanan ke dalam alur pengembangan adalah faktor kunci dalam mempercepat penerapan aplikasi, dengan hampir setengah (47%) tim menyatakan bahwa pengujian mereka sepenuhnya otomatis hari ini, naik dari 25% pada tahun 2021.
Adopsi API kode rendah dan tanpa kode untuk pengembangan juga membuat tim lebih efisien. Dua pertiga (66%) peserta survei menggunakan setidaknya satu alat berkode rendah atau tanpa kode dalam praktik DevOps mereka, peningkatan yang signifikan dari 25% yang disurvei pada tahun 2021.
Namun, semakin banyaknya opsi untuk pengembangan, penerapan, dan pengamanan perangkat lunak telah menghasilkan lebih banyak kebingungan, membuat tim DevOps mencari cara untuk menyederhanakan saluran dan perangkat mereka, menurut studi GitLab. Sementara 44% tim DevOps menggunakan dua hingga lima alat untuk mengelola proses pengembangan perangkat lunak, 41% menggunakan antara enam dan 10 alat.
“Itu banyak alat, dan 69% pengambil survei memberi tahu kami bahwa mereka ingin mengkonsolidasikan rantai alat mereka,” kata GitLab dalam laporan survei.
AI dan Pembelajaran Mesin 'Meningkat'
Kecerdasan buatan dan teknologi pembelajaran mesin telah melihat adopsi campuran di antara pengembang dan spesialis keamanan aplikasi. Sementara AI/ML berada di urutan terbawah daftar prioritas untuk karir masa depan pengembang, mayoritas ahli keamanan (54%) mengatakan AI/ML akan sangat membantu mereka dalam karir masa depan mereka. AI/ML sangat sesuai dengan domain keamanan. Misalnya, sistem AI/ML dapat dilatih untuk mendeteksi dan merespons ancaman, menghasilkan peringatan, dan memicu kumpulan aturan.
“Tetapi AI/ML masih jauh dari radar pengembang. Faktanya, penggunaannya sedang meningkat,” kata Hunt, menambahkan: “Ini sangat membantu dalam mendeteksi dan mempertahankan diri dari serangan dan pelaku jahat, karena profesional keamanan tidak dapat mengawasi setiap paket dan koneksi yang melintasi jaringan.”
Keamanan terus mengambil peran yang lebih besar dalam jalur pengembangan perangkat lunak, dengan 57% perusahaan mengalihkan tanggung jawab keamanan ke "kiri" dan membuat pengembang lebih bertanggung jawab atas kerentanan dalam kode mereka. Namun masih ada jalan, dengan sejumlah besar pengembang menyalahkan keamanan atas keterlambatan dan pembagian tanggung jawab untuk keamanan perangkat lunak sangat berubah-ubah.
“Sementara dev dan ops mengambil bagian yang lebih besar dari kepemilikan keamanan, itu tidak begitu mudah di tim kedua,” kata GitLab dalam laporan tersebut. “Pada tahun 2020 dan 2021, persentase pro keamanan yang mengatakan mereka bertanggung jawab penuh atas keamanan kira-kira sama dengan mereka yang mengatakan semua orang bertanggung jawab.”
