Розробники програмного забезпечення та операційні команди продовжують використовувати DevOps та інші гнучкі методології, а також автоматизацію та служби з низьким кодом, але вони все ще мають проблеми з безпекою, наслідками пандемії COVID-19 і нестачею кваліфікованих працівників служби безпеки, згідно з щойно опубліковане щорічне опитування від GitLab.
Згідно з опитуванням понад 5,000 розробників програмного забезпечення, спеціалістів з експлуатації та спеціалістів із захисту додатків, DevSecOps забезпечує кращу якість коду, вищу продуктивність розробників та покращену ефективність роботи. Однак безпека все ще є проблемою. Хоча більше половини (57%) опитаних вважають безпеку показником ефективності, майже стільки ж сказали, що «важко змусити розробників фактично визначити пріоритетність усунення вразливостей коду».
Опитування, проведене постачальником інструментальних ланцюжків, підкреслює, що всі учасники процесу розробки та розгортання все ще потребують покращення комунікації та стосунків між групами, каже Джонатан Хант, віце-президент із інформаційної безпеки та кібербезпеки GitLab.
«Для того, щоб розробники та спеціалісти з безпеки краще працювали разом, потрібен підхід до розробки програмного забезпечення, орієнтований на культуру, шляхом створення культури DevOps», — каже Хант. «Платформа DevOps добре підходить для цього підходу, надаючи організаціям безперебійну співпрацю між командами DevSecOps, спільне володіння безпекою та відповідністю, а також стратегічне використання таких технологій, як автоматизація та AI/ML».
Змішування і матч
Команда знайдено опитування що єдиного домінуючого підходу до розробки програмного забезпечення не існує, і більшість команд використовують поєднання підходів. Хоча більшість команд розробників (47%) використовували DevOps і DevSecOps, інші гнучкі підходи також становили значну частку: 34% команд використовували Scrum, 24% використовували Kanban і 29% використовували методології Lean. Команди навіть розширили використання розробки Waterfall, причому більше чверті (26%) прийняли цей підхід.
«Команди DevOps не обмежують себе якимось одним способом роботи», — каже Хант. «Вони гнучкі та готові коригувати свої підходи відповідно до потреб бізнесу та проектів».
Зростання гнучких підходів до розробки та розгортання програмного забезпечення призвело до швидшого розгортання програмного забезпечення. Сім із 10 респондентів опитування сказали, що їхні команди розгортають принаймні раз на кілька днів або частіше, стрибок на 11 пунктів порівняно з 2021 роком. Інтеграція автоматизованого тестування, розгортання та контролю безпеки в конвеєр розробки є ключовим фактором прискорення розгортання додатків, причому майже половина (47%) команд стверджують, що їхнє тестування сьогодні повністю автоматизоване, порівняно з 25% у 2021 році.
Застосування API з низьким кодом і без нього для розробки також зробило команди ефективнішими. Дві третини (66%) учасників опитування використовують у своїй практиці DevOps принаймні один інструмент із низьким кодом або без коду, що є значним збільшенням порівняно з 25% опитаних у 2021 році.
Проте збільшення кількості варіантів розробки, розгортання та захисту програмного забезпечення призвело до ще більшої плутанини, що спонукало команди DevOps до спроби спростити свій конвеєр та набори інструментів, показало дослідження GitLab. Тоді як 44% команд DevOps використовують від двох до п’яти інструментів для керування процесом розробки програмного забезпечення, 41% використовують від шести до десяти інструментів.
«Це багато інструментів, і 69% учасників опитування сказали нам, що вони хотіли б консолідувати свої інструментальні ланцюжки», — йдеться у звіті GitLab.
ШІ та машинне навчання «на підйомі»
Технології штучного інтелекту та машинного навчання неоднозначно сприймаються розробниками та спеціалістами з безпеки програм. Незважаючи на те, що штучний інтелект/ML займає останнє місце в списку пріоритетів для майбутньої кар’єри розробників, більшість фахівців із безпеки (54%) заявили, що штучний інтелект/ML найбільше допоможе їм у майбутній кар’єрі. AI/ML особливо підходить для сфери безпеки. Наприклад, системи AI/ML можна навчити виявляти загрози та реагувати на них, створювати сповіщення та запускати набори правил.
«Але штучний інтелект і ML ще не зникли з радарів розробників. Насправді його використання зростає», – каже Хант і додає: «Це особливо корисно, коли мова йде про виявлення та захист від атак і зловмисників, оскільки спеціалісти з безпеки не можуть спостерігати за кожним пакетом і з’єднанням, які проходять через мережу».
Безпека продовжує відігравати все більшу роль у розробці програмного забезпечення: 57% компаній перекладають відповідальність за безпеку «наліво» та роблять розробників більш відповідальними за вразливості у своєму коді. Проте ще є шляхи, оскільки значна кількість розробників звинувачують безпеку у затримках, а розподіл відповідальності за безпеку програмного забезпечення дуже змінюється.
«Хоча розробники та оператори беруть на себе більшу частку володіння безпекою, у команді з безпеки це не так просто», — йдеться у звіті GitLab. «У 2020 і 2021 роках відсоток спеціалістів із безпеки, які заявили, що несуть повну відповідальність за безпеку, був приблизно таким же, як і тих, хто сказав, що відповідальність несуть усі».
