[调查]安全愈加融入DevOps和敏捷开发

GitLab最新的调查研究发现，编程速度、安全和自动化方法在去年大幅增长。

5月4日，开发工具制造商GitLab发布调查报告指出，DevOps和敏捷编程继续进驻软件开发团队，占据受访公司开发实践方法的三分之二强（68%）。

调查结果表明，开发运维和敏捷编程的加速采用，与开发人员在软件安全防护方面承担的责任日益增大（所谓“安全左移”）不谋而合：39%的开发人员“感到对安全负有完全责任”，较去年的28%上升了近一半比例；还有32%的开发人员与其他团队共同分担安全责任。总体上，开发人员的安全展望在过去一年有了明显的提振，72%的开发人员认为所在公司的安全“良好”或“强大”，比上一年的59%有所增长。

GitLab安全副总裁Johnathan Hunt称，今年与往年不同，在DevOps中集成安全（常称为DevSecOps、SecDevOps或安全DevOps）的操作比其他任何年份都来得更加真切和现实。

他说：“去年，常常没人知道谁来负责安全，DevSecOps采用也停滞不前。而现在，企业的安全观越来越好，对安全的认知在逐渐改善。”

调查的重点放在DevOps和DevSecOps上，敏捷编程、Scrum、看板方法或瀑布开发等其他软件开发方法论次之。大多数DevOps实现包括持续集成和持续部署（CI/CD），然后是安全集成（DevSecOps）和测试自动化。 

尽管GitLab并未特别问到新冠肺炎疫情的影响，但去年的疫情确实严重影响了整个软件开发社区。因为程序员天生适合远程办公，绝大部分程序员都远程工作，团队也就更重视支持分散劳动力的软件开发方法了。 

在一份声明中，GitLab首席技术官 Eric Johnson称：“2020年是DevOps发展成熟的催化剂。全世界的团队都在精简开发周期和交付更快的发布时间，同时适应远程办公和调整工作重点，从而满足去年特殊时期的高要求。”

2021年2月到3月间，近4300位受访者完成了此项调查，其中软件相关专业和DevOps相关专业的受访者，比如软件开发人员和DevOps工程师，构成了受访人员中数量最多的四个群体，占比超过所有受访人员的三分之二。

虽然开发领域里安全的作用日趋重要，但这两个专业之间的关系仍旧紧张。大部分DevOps开发人员宣称，软件部署的频率翻倍了，28%的DevOps开发人员每天部署多次，15%每周部署一次，10%每月部署一次。

“尽管我们看到安全所有权比重大幅增加，但问题还没解决。安全开发生命周期的所有权归属问题还存在一定的混淆。”

最大的挑战依然是测试环节，包括安全测试，超过40%的开发人员认为测试在开发流水线上出现的时间太晚了。

虽然近四分之一的受访者称自家公司实现了全自动化测试，但测试仍旧会造成延迟。另外25%的受访者根本没有任何测试自动化，或者仅处于考虑自动化测试的阶段。 

“何时测试、何时扫描、何时查找漏洞、开发生命周期会被拖慢多少，围绕这些问题总会出现冲突。现在，开发人员希望能快一些，这就有意思了，因为他们也在说解决漏洞真的太难。”

企业仍在采用引入人工智能（AI）和机器学习（ML）改善开发，超过41%的受访企业将这两种技术用在测试领域。2020年，仅16%的受访者用AI或ML工具测试。然而，DevOps团队似乎没跟上这一形势，使用AI和ML工具进行开发的占比仅略高于11%，相比2020年的4%有所上升，但仍远落后于平均水平。

相当一部分开发人员（30%）认为了解这两种技术是自身未来职业发展的关键，而2020年开发人员心目中未来职业发展的头号关键技术是软技能，例如沟通技能。 

Hunt称：“对于DevOps团队来说，专业技能仍然是个问题，但这是一个与快速采用AI和ML相关的问题。我们迈向AI和ML时，开发人员并未真正明白如何应用这项技术。”

关键词：DevOps；敏捷开发；DevSecOps；

相关文章

• DevSecOps能力指南

• 2020年度网络安全成熟度阶梯（完整版）
  

• 2020年度珍藏：中国网络安全能力图谱（完整版）
  

• 中国网络安全能力100强

• DevSecOps状态报告：云的复杂性造成安全缺口

• 数世咨询：威胁检测与响应（TDR）市场指南

本文始发于微信公众号（数世咨询）：[调查]安全愈加融入DevOps和敏捷开发