Softwareontwikkelaars en operationele teams blijven DevOps en andere agile-methodologieën gebruiken, evenals automatisering en low-code-services, maar ze worstelen nog steeds met beveiliging, de gevolgen van de COVID-19-pandemie en een tekort aan geschoolde beveiligingsmedewerkers, volgens een nieuw gepubliceerde jaarlijkse enquête van GitLab.
DevSecOps resulteert in betere codekwaliteit, hogere productiviteit van ontwikkelaars en verbeterde operationele efficiëntie, volgens het onderzoek onder meer dan 5,000 softwareontwikkelaars, operationele specialisten en applicatiebeveiligingsprofessionals. Beveiliging blijft echter een probleem. Terwijl meer dan de helft (57%) van de ondervraagden beveiliging als een prestatiemaatstaf beschouwde, zei bijna hetzelfde aantal dat het "moeilijk was om ontwikkelaars ertoe te brengen daadwerkelijk prioriteit te geven aan het oplossen van kwetsbaarheden in de code".
Het onderzoek uitgevoerd door de toolchain-aanbieder onderstreept dat alle deelnemers aan het ontwikkelings- en implementatieproces de communicatie en relaties tussen groepen nog moeten verbeteren, zegt Johnathan Hunt, vice-president informatiebeveiliging en cyberbeveiliging bij GitLab.
"Om ontwikkelaars en beveiligingsprofessionals beter te laten samenwerken, is een cultuurgerichte benadering van softwareontwikkeling vereist door het creëren van een DevOps-cultuur", zegt Hunt. "Een DevOps-platform leent zich goed voor deze aanpak door organisaties naadloze samenwerking tussen DevSecOps-teams, gedeeld eigendom van beveiliging en compliance en strategisch gebruik van technologieën zoals automatisering en AI/ML te bieden."
Mix en match
De onderzoek gevonden dat er geen enkele dominante benadering van softwareontwikkeling bestaat en dat de meeste teams een mix van benaderingen gebruiken. Terwijl een meerderheid van de ontwikkelingsteams (47%) DevOps en DevSecOps gebruikte, waren ook andere agile benaderingen goed voor een aanzienlijk aandeel: 34% van de teams gebruikte Scrum, 24% gebruikte Kanban en 29% gebruikte Lean-methodologieën. Teams breidden zelfs hun gebruik van watervalontwikkeling uit, waarbij meer dan een kwart (26%) die benadering toepast.
"DevOps-teams beperken zich niet tot één manier van werken", zegt Hunt. "Ze zijn flexibel en bereid om hun aanpak aan te passen aan verschillende bedrijfs- en projectbehoeften."
De toename van agile benaderingen van softwareontwikkeling en -implementatie heeft geresulteerd in een snellere implementatie van software. Zeven op de tien respondenten zeiden dat hun teams minstens eens in de paar dagen of vaker inzetten, een sprong van 11 punten vanaf 2021. Het integreren van geautomatiseerde tests, implementatie en beveiligingscontroles in de ontwikkelingspijplijn is een sleutelfactor bij het versnellen van de implementatie van applicaties, waarbij bijna de helft (47%) van de teams beweert dat hun testen vandaag volledig geautomatiseerd zijn, tegen 25% in 2021.
De acceptatie van low-code en no-code API's voor ontwikkeling heeft teams ook efficiënter gemaakt. Tweederde (66%) van de deelnemers aan de enquête gebruikt ten minste één low-code of no-code tool in hun DevOps-praktijk, een aanzienlijke stijging ten opzichte van de 25% van de ondervraagden in 2021.
Maar het groeiende aantal opties voor ontwikkeling, implementatie en beveiliging van software heeft geleid tot meer verwarring, waardoor DevOps-teams op zoek zijn naar vereenvoudiging van hun pijplijn en toolsets, zo blijkt uit het onderzoek van GitLab. Terwijl 44% van de DevOps-teams twee tot vijf tools gebruikt om het softwareontwikkelingsproces te beheren, gebruikt 41% tussen de zes en tien tools.
"Dat zijn veel tools, en 69% van de deelnemers aan de enquête vertelde ons dat ze hun toolketens willen consolideren", aldus GitLab in het onderzoeksrapport.
AI en machine learning 'in opkomst'
Kunstmatige intelligentie en machine learning-technologieën worden gemengd gebruikt door ontwikkelaars en specialisten op het gebied van applicatiebeveiliging. Hoewel AI/ML onderaan de prioriteitenlijst staat voor toekomstige carrières van ontwikkelaars, zei een meerderheid van de beveiligingsprofessionals (54%) dat AI/ML hen het meeste zal helpen in hun toekomstige carrière. AI/ML is met name geschikt voor het beveiligingsdomein. AI/ML-systemen kunnen bijvoorbeeld worden getraind om bedreigingen te detecteren en erop te reageren, waarschuwingen te genereren en regelsets te activeren.
“Maar AI/ML valt nog lang niet van de radar van ontwikkelaars. Het gebruik ervan neemt zelfs toe”, zegt Hunt, eraan toevoegend: “Dit is vooral handig als het gaat om het detecteren van en verdedigen tegen aanvallen en kwaadwillende actoren, aangezien beveiligingsprofessionals niet elk pakket en elke verbinding die een netwerk doorkruist kunnen bekijken.”
Beveiliging blijft een grotere rol spelen in de pijplijn voor softwareontwikkeling, waarbij 57% van de bedrijven de verantwoordelijkheid voor de beveiliging "naar links" verschuift en ontwikkelaars meer verantwoordelijk maakt voor de kwetsbaarheden in hun code. Toch is er nog een weg te gaan, met een aanzienlijk aantal ontwikkelaars die beveiliging de schuld geven van vertragingen en de verdeling van de verantwoordelijkheid voor softwarebeveiliging sterk in beweging is.
"Terwijl dev en ops een groter deel van het beveiligingsbezit op zich nemen, is het niet zo eenvoudig voor het sec-team", aldus GitLab in het rapport. "In 2020 en 2021 was het percentage beveiligingsprofessionals dat zei volledig verantwoordelijk te zijn voor beveiliging ongeveer hetzelfde als degenen die zeiden dat iedereen verantwoordelijk was."
