软件开发人员和运营团队继续采用 DevOps 和其他敏捷方法以及自动化和低代码服务,但他们仍然在安全性、COVID-19 大流行的影响以及熟练的安全人员短缺等问题上苦苦挣扎。 GitLab 最新发布的年度调查。
根据对 5,000 多名软件开发人员、运营专家和应用程序安全专业人员的调查,DevSecOps 可以带来更好的代码质量、更高的开发人员生产力和运营效率。 然而,安全仍然是一个问题。 虽然超过一半 (57%) 的受访者认为安全性是一项性能指标,但几乎相同的数字表示“很难让开发人员真正优先考虑修复代码漏洞”。
GitLab 信息安全和网络安全副总裁 Johnathan Hunt 表示,工具链提供商进行的调查强调,开发和部署过程中的所有参与者仍需要改善团队之间的沟通和关系。
“让开发人员和安全专业人员更好地合作需要通过创建 DevOps 文化来采用文化优先的软件开发方法,”Hunt 说。 “DevOps 平台非常适合这种方法,它允许组织在 DevSecOps 团队之间进行无缝协作、共享安全性和合规性以及对自动化和 AI/ML 等技术的战略使用。”
连连看
调查发现 软件开发不存在单一的主导方法,大多数团队使用多种方法。 虽然大多数开发团队 (47%) 使用 DevOps 和 DevSecOps,但其他敏捷方法也占有很大份额:34% 的团队使用 Scrum,24% 使用看板,29% 使用精益方法。 团队甚至扩大了他们对瀑布开发的使用,超过四分之一 (26%) 的团队采用了这种方法。
“DevOps 团队并不局限于任何一种工作方式,”Hunt 说。 “他们很灵活,愿意调整方法以满足各种业务和项目需求。”
软件开发和部署的敏捷方法的增加导致了软件的更快部署。 十分之七的调查受访者表示,他们的团队至少每隔几天或更频繁地部署一次, 与 11 年相比上升了 2021 个百分点. 将自动化测试、部署和安全控制集成到开发管道中是加速应用程序部署的一个关键因素,近一半 (47%) 的团队声称他们的测试今天是完全自动化的,高于 25 年的 2021%。
采用低代码和无代码 API 进行开发也提高了团队的效率。 三分之二 (66%) 的受访者在他们的 DevOps 实践中使用了至少一种低代码或无代码工具,与 25 年 2021% 的受访者相比显着增加。
然而,GitLab 的研究发现,用于开发、部署和保护软件的选项数量不断增加导致更多的混乱,导致 DevOps 团队寻求简化他们的管道和工具集。 虽然 44% 的 DevOps 团队使用 41 到 10 个工具来管理软件开发过程,但 XNUMX% 的团队使用 XNUMX 到 XNUMX 个工具。
“有很多工具,69% 的调查对象告诉我们,他们希望整合他们的工具链,”GitLab 在调查报告中表示。
人工智能和机器学习“正在兴起”
人工智能和机器学习技术在开发人员和应用程序安全专家中得到了混合采用。 虽然 AI/ML 在开发人员未来职业的优先事项列表中排在最后,但大多数安全专业人士 (54%) 表示 AI/ML 将在他们未来的职业生涯中为他们提供最大的帮助。 AI/ML 特别适合安全领域。 例如,可以训练 AI/ML 系统来检测和响应威胁、生成警报和触发规则集。
“但 AI/ML 远未脱离开发者的关注。 事实上,它的使用正在增加,”Hunt 说,并补充道:“这在检测和防御攻击和恶意行为者方面特别有用,因为安全专业人员无法监视穿过网络的每个数据包和连接。”
安全性继续在软件开发管道中发挥更大的作用,57% 的公司将安全责任“左”转移,让开发人员对其代码中的漏洞承担更多责任。 然而,还有很长的路要走,大量开发人员将延迟归咎于安全性,并且软件安全性的责任分工非常不稳定。
GitLab 在报告中表示:“虽然开发人员和运维人员承担了更大份额的安全所有权,但对 sec 团队来说并不是那么简单。” “在 2020 年和 2021 年,自称对安全负全部责任的安全专业人员的百分比与自称人人有责的人的百分比大致相同。”
