调查:DevOps版图巨变,安全团队职责不清
星期五, 五月 22, 2020
GitLab近日的调查显示,随着越来越多的团队采用DevOps,整个软件开发团队的角色已经改变。
来自全球21个国家/地区的3,650多名受访者进行的调查发现,DevOps采用和实施新工具的比率不断提高,导致开发人员、安全和运营团队的工作职能、工具选择和组织结构图发生了巨大变化。
GitLab首席执行官Sid Sijbrandij说:
今年的全球DevSecOps调查显示,成功的DevOps实践人员比以往任何时候都多,他们报告的发布时间大大缩短,真正实现了持续的集成/部署,并且在“安全左移”和安全性方面取得了进展。
也就是说,仍有大量工作要做,尤其是在测试和安全领域。我们期待着随着团队适应利用新技术和工作角色转变,团队之间的协作和测试也会得到进一步改进。
对于开发人员、运营和安全团队来说,这是一个瞬息万变的世界。如果操作正确,DevOps可以大大提高企业的利润,但是要实现真正的DevSecOps仍然有许多障碍需要克服。
现在,每家公司都是一家软件公司,并且要推动业务发展,对于团队来说,了解开发人员的角色如何演变以及它如何影响安全性,运营和测试团队的职责显得尤为重要。
开发人员和运营团队之间的界线越来越模糊,因为35%的开发人员表示他们定义和/或创建其应用程序所运行的基础结构,而14%的开发人员实际监视和响应该基础结构传统上由运营机构负责。
此外,超过18%的开发人员使用工具代码进行生产监控,而12%的开发人员在发生事件时将其作为升级点。
DevOps的采用率也有所提高,25%的公司处于3至5年实践的DevOps“最佳位置”,而另外37%的公司进展顺利,拥有1至3年的经验。
作为此实施的一部分,许多人还看到了连续部署的好处:将近60%的用户每天,每天或每几天进行多次部署(去年为45%)。
随着越来越多的团队习惯于在工作中使用DevOps,随着职责开始重叠,跨软件开发团队的角色也开始发生变化。70%的运营专业人员报告说,开发人员可以配置自己的环境,这表明新流程和不断变化的技术带来的责任正在转移。
开发人员和安全团队之间仍然存在明显的脱节,不确定谁应该负责安全工作。与测试人员(23%)和运营专业人员(21%)相比,超过25%的开发人员表示对安全负责。
对于安全团队,需要更加明确指责,33%的安全团队成员说他们对安全负责,而29%(几乎一样多)的成员表示他们认为每个人都应对安全负责。
报告指出,开发人员在开发的最早阶段没有发现足够的错误,并且很难优先解决这些错误,这一发现与去年的调查一致。
超过42%的人认为安全测试仍然在软件开发生命周期中介入的太晚了,36%的人说很难理解、处理和修复任何发现的漏洞,还有31%的人认为优先考虑漏洞修复是艰巨的任务。
GitLab安全副总裁Johnathan Hunt指出:
尽管整个行业都在向左移动,但我们的研究表明,团队日常职责的变化需要更加明确,因为这会影响整个组织的安全水平。
安全团队需要为采用新工具和部署实施具体流程,以提高开发效率和安全能力。
对于开发团队而言,更快的软件发布至关重要。近83%的开发人员表示,在采用DevOps之后能够更快地发布代码。
持续集成和持续交付(CI/CD)还被证明有助于减少构建和部署应用程序的时间。38%的人表示其DevOps实施包括CI/CD。另外有29%的人表示其DevOps实施包括测试自动化,有16%的人采用了DevSecOps,近9%的人使用多云。
尽管如此,据47%的受访者称,测试已连续第二年成为最主要的瓶颈。自动化测试正在提升,但是只有12%的人声称具有完整的测试自动化。而且,尽管60%的公司报告每天进行多次部署,每天一次或每几天进行一次部署,但超过42%的公司表示测试在开发生命周期中介入的太迟了。
安全业界在DevOps实践方面已经取得了长足的进步,但在简化安全,开发人员和运营团队之间的协作方面,还有更多工作要做。
相关阅读