ソフトウェア開発者と運用チームは、DevOps やその他のアジャイル手法、自動化やローコード サービスを採用し続けていますが、依然としてセキュリティ、COVID-19 パンデミックの影響、熟練したセキュリティ ワーカーの不足に苦しんでいます。 GitLab から新たに公開された年次調査。
5,000 人を超えるソフトウェア開発者、運用スペシャリスト、およびアプリケーション セキュリティの専門家を対象とした調査によると、DevSecOps により、コードの品質が向上し、開発者の生産性が向上し、運用効率が向上します。 ただし、セキュリティは依然として問題です。 調査対象者の半数以上 (57%) がセキュリティをパフォーマンス メトリックと見なしていましたが、ほぼ同じ数が「開発者にコードの脆弱性の修正を実際に優先させるのは難しい」と述べています。
GitLab の情報セキュリティおよびサイバーセキュリティ担当バイス プレジデントであるジョナサン ハント (Johnathan Hunt) は、ツールチェーン プロバイダーが実施した調査は、開発および展開プロセスのすべての参加者がグループ間のコミュニケーションと関係を改善する必要があることを強調しています。
「開発者とセキュリティ プロフェッショナルの連携を向上させるには、DevOps 文化の創造を通じて、ソフトウェア開発への文化第一のアプローチが必要です」と Hunt 氏は言います。 「DevOps プラットフォームは、組織に DevSecOps チーム間のシームレスなコラボレーション、セキュリティとコンプライアンスの共有所有権、自動化や AI/ML などのテクノロジーの戦略的使用を提供することで、このアプローチに適しています。」
ミックスアンドマッチ
調査が見つかりました ソフトウェア開発への単一の支配的なアプローチは存在せず、ほとんどのチームはさまざまなアプローチを組み合わせて使用しています。 開発チームの大部分 (47%) が DevOps と DevSecOps を使用していましたが、他のアジャイル アプローチもかなりの割合を占めていました。チームの 34% がスクラムを使用し、24% がカンバンを使用し、29% がリーン手法を使用していました。 チームはウォーターフォール開発の使用をさらに拡大し、26 分の XNUMX 以上 (XNUMX%) がそのアプローチを採用しました。
「DevOps チームは、XNUMX つの作業方法に制限されていません」と Hunt 氏は言います。 「彼らは柔軟性があり、さまざまなビジネスやプロジェクトのニーズに合わせてアプローチを調整してくれます。」
ソフトウェアの開発と展開に対する機敏なアプローチの増加により、ソフトウェアの展開が高速化されました。 調査回答者の 10 人中 XNUMX 人が、チームが少なくとも数日に XNUMX 回、またはそれ以上の頻度で展開していると述べています。 11年から2021ポイントのジャンプ. 自動化されたテスト、展開、およびセキュリティ制御を開発パイプラインに統合することは、アプリケーションの展開を高速化するための重要な要素であり、チームのほぼ半分 (47%) が現在テストが完全に自動化されていると主張しており、25 年の 2021% から増加しています。
開発にローコード API とノーコード API を採用したことで、チームの効率も向上しました。 調査回答者の 66 分の 25 (2021%) が、DevOps の実践で少なくとも XNUMX つのローコードまたはノーコード ツールを使用しており、XNUMX 年の調査対象者の XNUMX% から大幅に増加しています。
しかし、ソフトウェアの開発、展開、およびセキュリティ保護のためのオプションの数が増加したことで、より多くの混乱が生じており、DevOps チームがパイプラインとツールセットを簡素化しようとしていることが、GitLab の調査で明らかになりました。 DevOps チームの 44% が 41 ~ 10 個のツールを使用してソフトウェア開発プロセスを管理しているのに対し、XNUMX% は XNUMX ~ XNUMX 個のツールを使用しています。
「これは多くのツールであり、調査回答者の 69% が、ツールチェーンを統合したいと言っています」と、GitLab は調査レポートで述べています。
AI と機械学習の「台頭」
人工知能と機械学習テクノロジは、開発者とアプリケーション セキュリティの専門家の間でさまざまな形で採用されています。 AI/ML は、開発者の将来のキャリアの優先事項リストの最下位に位置していますが、セキュリティ プロフェッショナルの過半数 (54%) は、AI/ML が将来のキャリアで最も役立つと述べています。 AI/ML は特にセキュリティ ドメインに適しています。 たとえば、AI/ML システムは、脅威を検出して対応し、アラートを生成し、ルール セットをトリガーするようにトレーニングできます。
「しかし、AI/ML が開発者のレーダーから外れることは決してありません。 実際、その使用は増加しています」と Hunt 氏は言い、次のように付け加えています。
セキュリティは、ソフトウェア開発パイプラインにおいて引き続き大きな役割を果たしています。企業の 57% がセキュリティの責任を「左へ」シフトし、コードの脆弱性に対する開発者の責任を高めています。 しかし、かなりの数の開発者が遅延の原因をセキュリティのせいにし、ソフトウェア セキュリティの責任分担が非常に流動的であるため、まだ道のりはあります。
「開発者と運用者がセキュリティ所有権のより大きなシェアを占めていますが、セキュリティ チームにとってはそれほど単純ではありません」と GitLab はレポートで述べています。 「2020 年と 2021 年に、セキュリティに完全に責任があると答えたセキュリティ専門家の割合は、全員に責任があると答えた人々の割合とほぼ同じでした。」
