Các nhà phát triển phần mềm và nhóm vận hành tiếp tục áp dụng DevOps và các phương pháp linh hoạt khác cũng như các dịch vụ tự động hóa và mã thấp, nhưng họ vẫn phải vật lộn với bảo mật, hậu quả của đại dịch COVID-19 và sự thiếu hụt nhân viên bảo mật lành nghề, theo một khảo sát hàng năm mới được công bố từ GitLab.
Theo khảo sát của hơn 5,000 nhà phát triển phần mềm, chuyên gia vận hành và chuyên gia bảo mật ứng dụng, DevSecOps mang lại chất lượng mã tốt hơn, năng suất của nhà phát triển cao hơn và hiệu quả hoạt động được cải thiện. Tuy nhiên, bảo mật vẫn là một vấn đề. Mặc dù hơn một nửa (57%) số người được khảo sát coi bảo mật là thước đo hiệu suất, nhưng gần như con số tương tự cho biết “rất khó để khiến các nhà phát triển thực sự ưu tiên sửa các lỗ hổng mã”.
Cuộc khảo sát do nhà cung cấp chuỗi công cụ thực hiện nhấn mạnh rằng tất cả những người tham gia vào quá trình phát triển và triển khai vẫn cần cải thiện giao tiếp và mối quan hệ giữa các nhóm, Johnathan Hunt, phó chủ tịch an ninh thông tin và an ninh mạng tại GitLab cho biết.
Hunt nói: “Việc giúp các nhà phát triển và chuyên gia bảo mật làm việc cùng nhau tốt hơn đòi hỏi một cách tiếp cận ưu tiên văn hóa đối với việc phát triển phần mềm thông qua việc tạo ra văn hóa DevOps”. “Nền tảng DevOps rất phù hợp với cách tiếp cận này bằng cách cấp cho các tổ chức sự cộng tác liền mạch giữa các nhóm DevSecOps, chia sẻ quyền sở hữu về bảo mật và tuân thủ cũng như sử dụng chiến lược các công nghệ như tự động hóa và AI/ML.”
Pha trộn và kết hợp
Sản phẩm khảo sát tìm thấy rằng không tồn tại cách tiếp cận thống trị duy nhất để phát triển phần mềm và hầu hết các nhóm sử dụng kết hợp các cách tiếp cận. Trong khi phần lớn các nhóm phát triển (47%) sử dụng DevOps và DevSecOps, các phương pháp tiếp cận nhanh nhẹn khác cũng chiếm tỷ trọng đáng kể: 34% nhóm sử dụng Scrum, 24% sử dụng Kanban và 29% sử dụng phương pháp Lean. Các nhóm thậm chí còn mở rộng việc sử dụng phát triển Waterfall của họ, với hơn một phần tư (26%) áp dụng phương pháp đó.
Hunt nói: “Các nhóm DevOps không giới hạn bản thân trong bất kỳ cách làm việc nào. “Họ linh hoạt và sẵn sàng điều chỉnh cách tiếp cận của mình để đáp ứng các nhu cầu kinh doanh và dự án khác nhau.”
Sự gia tăng các phương pháp tiếp cận nhanh để phát triển và triển khai phần mềm đã dẫn đến việc triển khai phần mềm nhanh hơn. Bảy trong số 10 người trả lời khảo sát cho biết nhóm của họ triển khai ít nhất vài ngày một lần hoặc thường xuyên hơn, tăng 11 điểm so với năm 2021. Tích hợp kiểm tra tự động, triển khai và kiểm soát bảo mật vào quy trình phát triển là yếu tố quan trọng trong việc tăng tốc triển khai ứng dụng, với gần một nửa (47%) nhóm khẳng định rằng kiểm tra của họ hoàn toàn tự động hiện nay, tăng từ 25% vào năm 2021.
Việc áp dụng các API mã thấp và không mã để phát triển cũng đã làm cho các nhóm hoạt động hiệu quả hơn. Hai phần ba (66%) người tham gia khảo sát đang sử dụng ít nhất một công cụ mã thấp hoặc không mã trong thực hành DevOps của họ, tăng đáng kể so với 25% những người được khảo sát vào năm 2021.
Tuy nhiên, nghiên cứu của GitLab cho thấy số lượng tùy chọn ngày càng tăng để phát triển, triển khai và bảo mật phần mềm đã dẫn đến nhiều nhầm lẫn hơn, khiến các nhóm DevOps tìm cách đơn giản hóa quy trình và bộ công cụ của họ. Trong khi 44% nhóm DevOps sử dụng từ 41 đến 10 công cụ để quản lý quy trình phát triển phần mềm thì XNUMX% sử dụng từ XNUMX đến XNUMX công cụ.
GitLab nêu trong báo cáo khảo sát: “Có rất nhiều công cụ và 69% người tham gia khảo sát nói với chúng tôi rằng họ muốn hợp nhất chuỗi công cụ của mình”.
AI và học máy 'Đang phát triển'
Công nghệ trí tuệ nhân tạo và máy học đã được các nhà phát triển và chuyên gia bảo mật ứng dụng áp dụng một cách hỗn hợp. Mặc dù AI/ML nằm ở cuối danh sách ưu tiên cho sự nghiệp tương lai của các nhà phát triển, nhưng phần lớn các chuyên gia bảo mật (54%) cho biết AI/ML sẽ giúp họ nhiều nhất trong sự nghiệp tương lai. AI/ML đặc biệt phù hợp với lĩnh vực bảo mật. Ví dụ: hệ thống AI/ML có thể được đào tạo để phát hiện và ứng phó với các mối đe dọa, tạo cảnh báo và kích hoạt bộ quy tắc.
“Nhưng AI/ML còn lâu mới lọt khỏi tầm ngắm của các nhà phát triển. Trên thực tế, việc sử dụng nó đang ngày càng gia tăng,” Hunt nói và cho biết thêm: “Điều này đặc biệt hữu ích khi phát hiện và bảo vệ khỏi các cuộc tấn công và tác nhân độc hại, vì các chuyên gia bảo mật không thể theo dõi mọi gói và kết nối xuyên qua mạng.”
Bảo mật tiếp tục đóng vai trò lớn hơn trong quy trình phát triển phần mềm, với 57% công ty chuyển trách nhiệm bảo mật sang “trái” và khiến các nhà phát triển phải chịu trách nhiệm nhiều hơn về các lỗ hổng trong mã của họ. Tuy nhiên, vẫn còn một con đường phía trước, với một số lượng đáng kể các nhà phát triển đổ lỗi cho vấn đề bảo mật gây ra sự chậm trễ và việc phân chia trách nhiệm về bảo mật phần mềm rất thay đổi.
GitLab cho biết trong báo cáo: “Mặc dù nhà phát triển và nhóm vận hành đang nắm giữ phần lớn quyền sở hữu bảo mật hơn, nhưng điều đó không đơn giản như vậy đối với nhóm giây”. “Vào năm 2020 và 2021, tỷ lệ chuyên gia bảo mật cho biết họ chịu trách nhiệm hoàn toàn về bảo mật gần bằng với tỷ lệ những người nói rằng mọi người đều chịu trách nhiệm.”
