调查：DevOps版图巨变，安全团队职责不清

GitLab近日的调查显示，随着越来越多的团队采用DevOps，整个软件开发团队的角色已经改变。

来自全球21个国家/地区的3,650多名受访者进行的调查发现，DevOps采用和实施新工具的比率不断提高，导致开发人员、安全和运营团队的工作职能、工具选择和组织结构图发生了巨大变化。

GitLab首席执行官Sid Sijbrandij说：

今年的全球DevSecOps调查显示，成功的DevOps实践人员比以往任何时候都多，他们报告的发布时间大大缩短，真正实现了持续的集成/部署，并且在“安全左移”和安全性方面取得了进展。

也就是说，仍有大量工作要做，尤其是在测试和安全领域。我们期待着随着团队适应利用新技术和工作角色转变，团队之间的协作和测试也会得到进一步改进。

对于开发人员、运营和安全团队来说，这是一个瞬息万变的世界。如果操作正确，DevOps可以大大提高企业的利润，但是要实现真正的DevSecOps仍然有许多障碍需要克服。

DevOps的普及和开发团队角色转变

现在，每家公司都是一家软件公司，并且要推动业务发展，对于团队来说，了解开发人员的角色如何演变以及它如何影响安全性，运营和测试团队的职责显得尤为重要。

开发人员和运营团队之间的界线越来越模糊，因为35％的开发人员表示他们定义和/或创建其应用程序所运行的基础结构，而14％的开发人员实际监视和响应该基础结构传统上由运营机构负责。

此外，超过18％的开发人员使用工具代码进行生产监控，而12％的开发人员在发生事件时将其作为升级点。

DevOps的采用率也有所提高，25％的公司处于3至5年实践的DevOps“最佳位置”，而另外37％的公司进展顺利，拥有1至3年的经验。

作为此实施的一部分，许多人还看到了连续部署的好处：将近60％的用户每天，每天或每几天进行多次部署（去年为45％）。

随着越来越多的团队习惯于在工作中使用DevOps，随着职责开始重叠，跨软件开发团队的角色也开始发生变化。70％的运营专业人员报告说，开发人员可以配置自己的环境，这表明新流程和不断变化的技术带来的责任正在转移。

安全团队不清楚职责

开发人员和安全团队之间仍然存在明显的脱节，不确定谁应该负责安全工作。与测试人员（23％）和运营专业人员（21％）相比，超过25％的开发人员表示对安全负责。

对于安全团队，需要更加明确指责，33％的安全团队成员说他们对安全负责，而29％（几乎一样多）的成员表示他们认为每个人都应对安全负责。

报告指出，开发人员在开发的最早阶段没有发现足够的错误，并且很难优先解决这些错误，这一发现与去年的调查一致。

超过42％的人认为安全测试仍然在软件开发生命周期中介入的太晚了，36％的人说很难理解、处理和修复任何发现的漏洞，还有31％的人认为优先考虑漏洞修复是艰巨的任务。

GitLab安全副总裁Johnathan Hunt指出：

尽管整个行业都在向左移动，但我们的研究表明，团队日常职责的变化需要更加明确，因为这会影响整个组织的安全水平。

安全团队需要为采用新工具和部署实施具体流程，以提高开发效率和安全能力。

新技术有助于加快发布速度，在其他领域造成瓶颈

对于开发团队而言，更快的软件发布至关重要。近83％的开发人员表示，在采用DevOps之后能够更快地发布代码。

持续集成和持续交付（CI/CD）还被证明有助于减少构建和部署应用程序的时间。38％的人表示其DevOps实施包括CI/CD。另外有29％的人表示其DevOps实施包括测试自动化，有16％的人采用了DevSecOps，近9％的人使用多云。

尽管如此，据47％的受访者称，测试已连续第二年成为最主要的瓶颈。自动化测试正在提升，但是只有12％的人声称具有完整的测试自动化。而且，尽管60％的公司报告每天进行多次部署，每天一次或每几天进行一次部署，但超过42％的公司表示测试在开发生命周期中介入的太迟了。

安全业界在DevOps实践方面已经取得了长足的进步，但在简化安全，开发人员和运营团队之间的协作方面，还有更多工作要做。

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。