下载|GitLab 2023 年 DevSecOps 全球调研报告:安全左移深入人心、AI/ML 蔚然成风

目录

谁应该对应用程序安全负主要责任?

安全实践的最大挑战

[AI 驱动研发,提升研发效率](#AI 驱动研发,提升研发效率)

各个角色使用的工具数量是多少?

[一体化 DevSecOps 平台有哪些优势?](#一体化 DevSecOps 平台有哪些优势?)


56%、74%、71%、65%、57% 这些数字和 DevSecOps 结合在一起,能勾勒出怎样的 DevSecOps 发展现状图呢?

基于 5010 份调研反馈,GitLab 发布了 2023 年全球 DevSecOps 报告《Security Without Sacrifices》,报告指出:

  • 56% 的受访者表示所在企业或组织在采用 DevOps/DevSecOps 方法论,这一比例在 2022 年为 47%;

  • 74% 的安全专家表示他们即将或者在未来三年内实践安全左移;

  • 71% 的安全专家表示,25% 的安全漏洞是由研发发现的,而这一比例在 2022 年为 53%(安全专家认可研发能在安全漏洞挖掘中发挥重要作用的占比上升,而不是研发挖掘的安全漏洞占比上升);

  • 65% 的研发表示他们正在使用或未来三年内将 AI 和 ML 应用到测试工作中;

  • 57% 的安全人员表示他们用了 6 个以上的工具,在研发中这一占比为 48%,运维中这一占比是 50%。

此外,报告对于落地实践 DevSecOps 过程中,安全责任的划分、多工具链使用、AI 赋能等方面的调研数据也做了分析。以下是部分报告的数据解读:

谁应该对应用程序安全负主要责任?

  • **研发人员角度:**44% 的受访者表示安全人员应该为安全负责;44% 的受访者表示研发人员应该为安全负责;只有 10% 的受访者表示运维应该为安全负责;

  • **安全人员角度:**30% 的受访者表示安全人员应该为安全负责,而这一比例在 2022 年是 70%;49% 的受访者表示研发人员应该为安全负责,而这一比例在 2022 年是 23%;20% 的受访者表示运维应该对安全负责,而这一比例在 2022 年是 6%;

  • **运维人员角度:**29% 的受访者表示安全人员应该为安全负责,而这一比例在 2022 年是 37%;44% 的受访者表示研发人员应该为安全负责,而这一比例在 2022 年是 33%;23% 的受访者表示运维应该是安全负责,而这一比例在 2022 年为 28%。

数据表明,认为研发应该对安全负责的占比在逐年上升,这说明安全左移理念在逐渐被大家认可并实践,另外也可以看出研发、安全、运维都应该为安全负责,这也是 DevSecOps 所倡导的:人人需要为安全负责。

安全实践的最大挑战

  • 43% 的受访者表示最大的挑战来自于研发过程中安全测试滞后,最终导致发布延迟;

  • 41% 的受访者表示很难确定漏洞修复的优先级问题

  • 34% 的受访者表示假阳性过多

  • 30% 的受访者表示很难去识别修复问题的真正人员

  • 23% 的受访者表示很难去追踪漏洞的状态

  • 16% 的受访者表示很难去理解漏洞的详情

  • 13% 的受访者表示测试不足或一致性不够

而在 2022 年,这些占比分别为 48%、52%、29%、28%、17%、16% 及 8%。

数据表明安全实践的主要难点在于安全问题的挖掘、梳理及修复,这也是 DevSecOps 难以全面落地的关键所在。不过在 AI/ML 的加持下,这一问题将得到有效解决。

AI 驱动研发,提升研发效率

  • 62% 的受访者表示他们已经在用 AI/ML 进行代码检查了;

  • 53% 的受访者表示在测试流程中使用了 bot(机器人);

  • 36% 的受访者表示在使用 AI/ML 工具进行代码审核;

  • 只有 5% 的受访者表示未用任何 AI/ML。

而这些数据在 2022 年分别为 51%、39%、31% 及 5%,可以看出 AI/ML 被越来越多的纳入到软件研发流程中,用 AI/ML 驱动研发,提升研发效率。

各个角色使用的工具数量是多少?

  • 研发人员角度: 1% 的受访者表示使用 1 个工具,51% 的受访者表示使用了 2-5 个工具,38% 的受访者表示使用了 6-10 个工具,6% 的受访者表示使用了 11-14 个工具,5% 的 受访者表示用到了 15 个以上的工具;而这些比例在 2022 年分别为 2%、37%、46%、12% 及 4%;

  • 安全人员角度: 1% 的受访者表示使用了 1 个工具,42% 的受访者表示使用了 2-5 个工具,43% 的受访者表示使用了 6-10 个工具,9% 的受访者表示使用了 11-14 个工具, 4% 的受访者表示使用了 15 个以上的工具;而这些比例在 2022 年分别为 2%、54%、35%、7% 及 3%;

  • 运维人员角度: 9% 的受访者表示使用了 1 个工具,41% 的受访者表示使用了 2-5 个工具,35% 的受访者表示使用了 6-10 个工具,8% 的受访者表示使用了 11-14 个工具, 7% 的企业使用了 15 个以上的工具;而这些比例在 2022 年为 3%、43%、43%、9% 及 3%。

从数据可知,使用多工具链是研发、安全、运维的常态,使用工具链在 2-14 个之间的占比高达 90% ,而复杂工具链会带来诸多问题,诸如数据孤岛、安全风险增大、沟通协作效率降低等问题。

一体化 DevSecOps 平台有哪些优势?

针对一体化 DevSecOps 平台的优势方面,报告指出:

  • 38% 的受访者表示能带来更加高效的 DevOps 实践

  • 37% 的受访者表示能带来更好的安全性

  • 36% 的受访者表示能带来更好的自动化效果

  • 34% 的受访者表示能节约时间、节省成本

  • 33% 的受访者表示能带来更好的协作

此外,报告对于企业所采用的软件研发模式、企业对于安全的反应、驱动 DevSecOps 大规模落地实践的主要因素、DevSecOps 的未来展望等方面做了数据分析,详情可以下载完整报告进行研读。

若想了解更多信息,戳 👉获取 《 GitLab 2023 年 DevSecOps 全球调研报告》完整 PDF。

相关推荐
不念霉运2 天前
2025 Gitee vs. GitLab:全面对比与选择指南
gitee·gitlab
水瓶_bxt2 天前
创建 GitLab Runner 使用CICD自动化部署容器
eureka·自动化·gitlab
黑心的奥利奥4 天前
Docker配置Gitlab-runner实现自动化容器化部署前端项目
docker·自动化·gitlab
wuzuyu3654 天前
在腾讯云上安装gitlab
云计算·gitlab·腾讯云
xiaodaiwang4 天前
OpenEuler 22.03 系统上安装配置gitlab runner
gitlab
TimberWill5 天前
gitlab私服搭建
gitlab
中东大鹅5 天前
访问 gitlab 跳转 0.0.0.0
gitlab
guygg886 天前
配置本地git到gitlab并推送
git·gitlab
大A崛起6 天前
Gitlab-CI实现组件自动推送
ci/cd·gitlab·github
越来越无动于衷6 天前
GitLab 社区版 10.8.4 安装、汉化与使用教程
gitlab