מפתחי תוכנה וצוותי תפעול ממשיכים לאמץ DevOps ומתודולוגיות זריזות אחרות, כמו גם אוטומציה ושירותי קוד נמוך, אך הם עדיין נאבקים באבטחה, בנשורת מגיפת ה-COVID-19 ובמחסור בעובדי אבטחה מיומנים. סקר שנתי חדש שפורסם מבית GitLab.
DevSecOps מביא לאיכות קוד טובה יותר, פרודוקטיביות מפתחים גבוהה יותר ויעילות תפעולית משופרת, על פי הסקר שנערך בקרב יותר מ-5,000 מפתחי תוכנה, מומחי תפעול ומקצועני אבטחת יישומים. עם זאת, האבטחה עדיין מהווה בעיה. בעוד שיותר ממחצית (57%) מהנסקרים סברו שאבטחה היא מדד ביצועים, כמעט אותו מספר אמר כי "קשה לגרום למפתחים לתעדף בפועל תיקון פרצות קוד."
הסקר שנערך על ידי ספק שרשרת הכלים מדגיש שכל המשתתפים בתהליך הפיתוח והפריסה עדיין צריכים לשפר את התקשורת והיחסים בין קבוצות, אומר ג'ונתן האנט, סגן נשיא לאבטחת מידע ואבטחת סייבר ב-GitLab.
"לגרום למפתחים ואנשי אבטחה לעבוד טוב יותר ביחד מצריך גישה תרבותית לפיתוח תוכנה דרך יצירת תרבות DevOps", אומר האנט. "פלטפורמת DevOps מתאימה לגישה זו על ידי מתן שיתוף פעולה חלק לארגונים בין צוותי DevSecOps, בעלות משותפת על אבטחה ותאימות, ושימושים אסטרטגיים בטכנולוגיות כגון אוטומציה ו-AI/ML."
לערבב ולהתאים
השמיים נמצא סקר שלא קיימת גישה דומיננטית אחת לפיתוח תוכנה, ורוב הצוותים משתמשים בשילוב של גישות. בעוד שרוב צוותי הפיתוח (47%) השתמשו ב-DevOps ו-DevSecOps, גישות זריזות אחרות היוו גם נתחים משמעותיים: 34% מהצוותים השתמשו ב-Scrum, 24% השתמשו ב-Kanban ו-29% השתמשו במתודולוגיות Lean. הצוותים אף הרחיבו את השימוש שלהם בפיתוח Waterfall, כאשר יותר מרבע (26%) אימצו גישה זו.
"צוותי DevOps אינם מגבילים את עצמם לאף דרך עבודה אחת", אומר האנט. "הם גמישים ומוכנים להתאים את הגישות שלהם כדי לענות על צרכים עסקיים ופרויקטים שונים."
הגידול בגישות הזריזות לפיתוח ופריסה של תוכנה הביאה לפריסה מהירה יותר של תוכנה. שבעה מתוך 10 משיבים בסקר אמרו שהצוותים שלהם פורסים לפחות פעם בכמה ימים או בתדירות גבוהה יותר, זינוק של 11 נקודות מ-2021. שילוב בדיקות אוטומטיות, פריסה ובקרות אבטחה בצנרת הפיתוח היא גורם מפתח בהאצת פריסת יישומים, כאשר כמעט מחצית (47%) מהצוותים טוענים שהבדיקות שלהם אוטומטיות לחלוטין כיום, לעומת 25% ב-2021.
גם האימוץ של ממשקי API בעלי קוד נמוך וללא קוד לפיתוח הפך את הצוותים ליעילים יותר. שני שלישים (66%) מהמשתתפים בסקרים משתמשים לפחות בכלי אחד עם קוד נמוך או ללא קוד בפרקטיקה שלהם ב-DevOps, עלייה משמעותית מ-25% מהנסקרים ב-2021.
עם זאת, מספר האפשרויות המתרחב לפיתוח, פריסה ואבטחה של תוכנה הוביל לבלבול רב יותר, מה שהוביל צוותי DevOps לחפש לפשט את הצינור ואת ערכות הכלים שלהם, כך מצא המחקר של GitLab. בעוד ש-44% מצוותי DevOps משתמשים בשניים עד חמישה כלים לניהול תהליך פיתוח התוכנה, 41% משתמשים בין שישה ל-10 כלים.
"זה הרבה כלים, ו-69% מהמשתתפים בסקר אמרו לנו שהם רוצים לאחד את שרשרת הכלים שלהם", קבע GitLab בדוח הסקר.
AI ולמידת מכונה 'בעלייה'
בינה מלאכותית וטכנולוגיות למידת מכונה זכו לאימוץ מעורב בקרב מפתחים ומומחי אבטחת יישומים. בעוד ש-AI/ML נמצא בתחתית רשימת העדיפויות לקריירה העתידית של מפתחים, רוב מקצועני האבטחה (54%) אמרו ש-AI/ML יעזור להם ביותר בקריירה העתידית שלהם. AI/ML מתאים במיוחד לתחום האבטחה. לדוגמה, ניתן לאמן מערכות AI/ML לזהות איומים ולהגיב אליהם, ליצור התראות ולהפעיל קבוצות כללים.
"אבל AI/ML רחוק מלפול מהמכ"מים של המפתחים. למעשה, השימוש בו נמצא במגמת עלייה", אומר האנט ומוסיף: "זה מועיל במיוחד כשמדובר באיתור והגנה מפני התקפות ושחקנים זדוניים, מכיוון שאנשי אבטחה לא יכולים לצפות בכל חבילה וחיבור שחוצה רשת".
האבטחה ממשיכה לקחת תפקיד גדול יותר בצנרת פיתוח התוכנה, כאשר 57% מהחברות מעבירות את אחריות האבטחה "שמאלה" והופכות את המפתחים ליותר אחראים לפרצות בקוד שלהם. עם זאת, יש עוד דרך לעבור, כאשר מספר לא מבוטל של מפתחים מאשימים את האבטחה בעיכובים וחלוקת האחריות על אבטחת התוכנה בתנופה רבה.
"בעוד שהמפתחים והמבצעים לוקחים על עצמם נתח גדול יותר מהבעלות על אבטחה, זה לא כל כך פשוט בצוות ה-sec", קבע GitLab בדו"ח. "ב-2020 ו-2021, אחוז מקצועני האבטחה שאמרו שהם אחראים באופן מלא לאבטחה היה בערך זהה לאלו שאמרו שכולם אחראים".
