[调查]安全愈加融入DevOps和敏捷开发
GitLab最新的调查研究发现,编程速度、安全和自动化方法在去年大幅增长。
5月4日,开发工具制造商GitLab发布调查报告指出,DevOps和敏捷编程继续进驻软件开发团队,占据受访公司开发实践方法的三分之二强(68%)。
调查结果表明,开发运维和敏捷编程的加速采用,与开发人员在软件安全防护方面承担的责任日益增大(所谓“安全左移”)不谋而合:39%的开发人员“感到对安全负有完全责任”,较去年的28%上升了近一半比例;还有32%的开发人员与其他团队共同分担安全责任。总体上,开发人员的安全展望在过去一年有了明显的提振,72%的开发人员认为所在公司的安全“良好”或“强大”,比上一年的59%有所增长。
GitLab安全副总裁Johnathan Hunt称,今年与往年不同,在DevOps中集成安全(常称为DevSecOps、SecDevOps或安全DevOps)的操作比其他任何年份都来得更加真切和现实。
他说:“去年,常常没人知道谁来负责安全,DevSecOps采用也停滞不前。而现在,企业的安全观越来越好,对安全的认知在逐渐改善。”
调查的重点放在DevOps和DevSecOps上,敏捷编程、Scrum、看板方法或瀑布开发等其他软件开发方法论次之。大多数DevOps实现包括持续集成和持续部署(CI/CD),然后是安全集成(DevSecOps)和测试自动化。
尽管GitLab并未特别问到新冠肺炎疫情的影响,但去年的疫情确实严重影响了整个软件开发社区。因为程序员天生适合远程办公,绝大部分程序员都远程工作,团队也就更重视支持分散劳动力的软件开发方法了。
在一份声明中,GitLab首席技术官 Eric Johnson称:“2020年是DevOps发展成熟的催化剂。全世界的团队都在精简开发周期和交付更快的发布时间,同时适应远程办公和调整工作重点,从而满足去年特殊时期的高要求。”
2021年2月到3月间,近4300位受访者完成了此项调查,其中软件相关专业和DevOps相关专业的受访者,比如软件开发人员和DevOps工程师,构成了受访人员中数量最多的四个群体,占比超过所有受访人员的三分之二。
虽然开发领域里安全的作用日趋重要,但这两个专业之间的关系仍旧紧张。大部分DevOps开发人员宣称,软件部署的频率翻倍了,28%的DevOps开发人员每天部署多次,15%每周部署一次,10%每月部署一次。
“尽管我们看到安全所有权比重大幅增加,但问题还没解决。安全开发生命周期的所有权归属问题还存在一定的混淆。”
最大的挑战依然是测试环节,包括安全测试,超过40%的开发人员认为测试在开发流水线上出现的时间太晚了。
虽然近四分之一的受访者称自家公司实现了全自动化测试,但测试仍旧会造成延迟。另外25%的受访者根本没有任何测试自动化,或者仅处于考虑自动化测试的阶段。
“何时测试、何时扫描、何时查找漏洞、开发生命周期会被拖慢多少,围绕这些问题总会出现冲突。现在,开发人员希望能快一些,这就有意思了,因为他们也在说解决漏洞真的太难。”
企业仍在采用引入人工智能(AI)和机器学习(ML)改善开发,超过41%的受访企业将这两种技术用在测试领域。2020年,仅16%的受访者用AI或ML工具测试。然而,DevOps团队似乎没跟上这一形势,使用AI和ML工具进行开发的占比仅略高于11%,相比2020年的4%有所上升,但仍远落后于平均水平。
相当一部分开发人员(30%)认为了解这两种技术是自身未来职业发展的关键,而2020年开发人员心目中未来职业发展的头号关键技术是软技能,例如沟通技能。
Hunt称:“对于DevOps团队来说,专业技能仍然是个问题,但这是一个与快速采用AI和ML相关的问题。我们迈向AI和ML时,开发人员并未真正明白如何应用这项技术。”
关键词:DevOps;敏捷开发;DevSecOps;
相关文章