DevSecOps ได้รับแรงฉุด — แต่ความปลอดภัยยังคงล่าช้า

นักพัฒนาซอฟต์แวร์และทีมปฏิบัติการยังคงใช้ DevOps และวิธีการอื่นๆ ที่คล่องตัว เช่นเดียวกับระบบอัตโนมัติและบริการที่มีโค้ดน้อย แต่พวกเขายังคงต้องดิ้นรนกับการรักษาความปลอดภัย ผลกระทบของการระบาดใหญ่ของ COVID-19 และการขาดแคลนพนักงานรักษาความปลอดภัยที่มีทักษะ แบบสำรวจประจำปีที่เผยแพร่ใหม่จาก GitLab

DevSecOps ส่งผลให้คุณภาพของโค้ดดีขึ้น ความสามารถในการทำงานของนักพัฒนาสูงขึ้น และประสิทธิภาพในการปฏิบัติงานที่ดีขึ้น จากการสำรวจของนักพัฒนาซอฟต์แวร์ ผู้เชี่ยวชาญด้านปฏิบัติการ และผู้เชี่ยวชาญด้านความปลอดภัยของแอปพลิเคชันมากกว่า 5,000 ราย ความปลอดภัยยังคงเป็นปัญหาอย่างไรก็ตาม ในขณะที่มากกว่าครึ่ง (57%) ของผู้ตอบแบบสำรวจถือว่าความปลอดภัยเป็นตัวชี้วัดประสิทธิภาพ แต่ตัวเลขที่ใกล้เคียงกันกล่าวว่า “ยากที่นักพัฒนาซอฟต์แวร์จะจัดลำดับความสำคัญในการแก้ไขช่องโหว่ของโค้ด”

การสำรวจที่ดำเนินการโดยผู้ให้บริการ toolchain ได้เน้นย้ำว่าผู้เข้าร่วมทั้งหมดในกระบวนการพัฒนาและปรับใช้ยังคงต้องปรับปรุงการสื่อสารและความสัมพันธ์ระหว่างกลุ่ม Johnathan Hunt รองประธานฝ่ายความปลอดภัยของข้อมูลและความปลอดภัยทางไซเบอร์ที่ GitLab กล่าว

"การให้นักพัฒนาซอฟต์แวร์และผู้เชี่ยวชาญด้านความปลอดภัยทำงานร่วมกันได้ดียิ่งขึ้นนั้นต้องใช้แนวทางที่เน้นวัฒนธรรมในการพัฒนาซอฟต์แวร์ผ่านการสร้างวัฒนธรรม DevOps" Hunt กล่าว “แพลตฟอร์ม DevOps ช่วยให้องค์กรสามารถทำงานร่วมกันได้อย่างราบรื่นในทีม DevSecOps การเป็นเจ้าของร่วมกันในการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนด และการใช้เทคโนโลยีเชิงกลยุทธ์ เช่น ระบบอัตโนมัติและ AI/ML”

ผสมและจับคู่

พื้นที่ พบแบบสำรวจ ที่ไม่มีแนวทางการพัฒนาซอฟต์แวร์ที่โดดเด่นเพียงแนวทางเดียว และทีมส่วนใหญ่ใช้วิธีผสมผสานกัน ในขณะที่ทีมพัฒนาส่วนใหญ่ (47%) ใช้ DevOps และ DevSecOps แต่แนวทางที่คล่องตัวอื่นๆ ก็มีส่วนสำคัญในการแชร์เช่นกัน: 34% ของทีมใช้ Scrum, 24% ใช้ Kanban และ 29% ใช้วิธีการแบบ Lean ทีมงานได้ขยายการใช้การพัฒนา Waterfall โดยมากกว่าหนึ่งในสี่ (26%) ใช้แนวทางดังกล่าว

“ทีม DevOps ไม่ได้จำกัดตัวเองให้ทำงานด้วยวิธีใดวิธีหนึ่ง” Hunt กล่าว “พวกเขามีความยืดหยุ่นและเต็มใจที่จะปรับเปลี่ยนแนวทางเพื่อตอบสนองความต้องการของธุรกิจและโครงการต่างๆ”

การเพิ่มขึ้นของวิธีการที่คล่องตัวในการพัฒนาและปรับใช้ซอฟต์แวร์ส่งผลให้การปรับใช้ซอฟต์แวร์เร็วขึ้น ผู้ตอบแบบสำรวจ 10 ใน XNUMX คนกล่าวว่าทีมของพวกเขาปรับใช้อย่างน้อยทุกๆ สองสามวันหรือบ่อยกว่านั้น เพิ่มขึ้น 11 คะแนนจากปี 2021. การผสานรวมการทดสอบอัตโนมัติ การปรับใช้ และการควบคุมความปลอดภัยเข้ากับไปป์ไลน์การพัฒนาเป็นปัจจัยสำคัญในการเร่งการปรับใช้แอปพลิเคชัน โดยเกือบครึ่ง (47%) ของทีมยืนยันว่าการทดสอบของพวกเขาเป็นแบบอัตโนมัติทั้งหมดในปัจจุบัน เพิ่มขึ้นจาก 25% ในปี 2021

การใช้ API แบบ low-code และ no-code เพื่อการพัฒนาทำให้ทีมมีประสิทธิภาพมากขึ้น สองในสาม (66%) ของผู้ตอบแบบสำรวจใช้เครื่องมือแบบ low-code หรือ no-code อย่างน้อยหนึ่งตัวในแนวปฏิบัติ DevOps ซึ่งเพิ่มขึ้นอย่างมากจาก 25% ของผู้ตอบแบบสำรวจในปี 2021

ผลการศึกษาของ GitLab พบว่าตัวเลือกจำนวนมากขึ้นสำหรับการพัฒนา การปรับใช้ และการรักษาความปลอดภัยของซอฟต์แวร์ทำให้เกิดความสับสนมากขึ้น ทำให้ทีม DevOps มองหาวิธีลดความซับซ้อนของไปป์ไลน์และชุดเครื่องมือ ในขณะที่ทีม DevOps 44% ใช้เครื่องมือสองถึงห้าเครื่องมือในการจัดการกระบวนการพัฒนาซอฟต์แวร์ 41% ใช้เครื่องมือระหว่างหกถึง 10 เครื่องมือ

“นั่นเป็นเครื่องมือจำนวนมาก และ 69% ของผู้ตอบแบบสำรวจบอกเราว่าพวกเขาต้องการรวมกลุ่มเครื่องมือของพวกเขา” GitLab กล่าวในรายงานการสำรวจ

AI และการเรียนรู้ของเครื่อง 'กำลังเพิ่มขึ้น'

เทคโนโลยีปัญญาประดิษฐ์และแมชชีนเลิร์นนิงได้เห็นการยอมรับแบบผสมผสานระหว่างนักพัฒนาและผู้เชี่ยวชาญด้านความปลอดภัยแอปพลิเคชัน แม้ว่า AI/ML จะอยู่ด้านล่างสุดของรายการลำดับความสำคัญสำหรับอาชีพในอนาคตของนักพัฒนา แต่ผู้เชี่ยวชาญด้านความปลอดภัยส่วนใหญ่ (54%) กล่าวว่า AI/ML จะช่วยพวกเขาได้มากที่สุดในอาชีพการงานในอนาคต AI/ML เหมาะสมกับโดเมนความปลอดภัยเป็นพิเศษ ตัวอย่างเช่น สามารถฝึกระบบ AI/ML เพื่อตรวจจับและตอบสนองต่อภัยคุกคาม สร้างการแจ้งเตือน และทริกเกอร์ชุดกฎ

“แต่ AI/ML นั้นยังห่างไกลจากเรดาร์ของนักพัฒนา อันที่จริง การใช้งานมันกำลังเพิ่มขึ้น” Hunt กล่าวเสริมว่า “สิ่งนี้มีประโยชน์อย่างยิ่งในการตรวจจับและป้องกันการโจมตีและผู้มุ่งร้าย เนื่องจากผู้เชี่ยวชาญด้านความปลอดภัยไม่สามารถดูทุกแพ็กเก็ตและการเชื่อมต่อที่ขวางเครือข่ายได้”

การรักษาความปลอดภัยยังคงมีบทบาทมากขึ้นในกระบวนการพัฒนาซอฟต์แวร์ โดย 57% ของบริษัทต่างๆ เลื่อนความรับผิดชอบด้านความปลอดภัย "ไปทางซ้าย" และทำให้นักพัฒนารับผิดชอบต่อช่องโหว่ในโค้ดของตนมากขึ้น ยังมีอีกหลายทางที่ต้องไป เนื่องจากนักพัฒนาจำนวนมากกล่าวโทษความปลอดภัยสำหรับความล่าช้าและการแบ่งความรับผิดชอบด้านความปลอดภัยของซอฟต์แวร์เป็นอย่างมาก

“ในขณะที่นักพัฒนาและเจ้าหน้าที่กำลังดำเนินการในสัดส่วนการเป็นเจ้าของความปลอดภัยที่มากขึ้น แต่ทีม sec กลับไม่ตรงไปตรงมานัก” GitLab กล่าวในรายงาน “ในปี 2020 และ 2021 เปอร์เซ็นต์ของผู้เชี่ยวชาญด้านความปลอดภัยที่บอกว่าพวกเขารับผิดชอบด้านความปลอดภัยอย่างเต็มที่นั้นพอๆ กับที่บอกว่าทุกคนต้องรับผิดชอบ”