下载|GitLab 2023 年 DevSecOps 全球调研报告:安全左移深入人心、AI/ML 蔚然成风

目录

谁应该对应用程序安全负主要责任?

安全实践的最大挑战

[AI 驱动研发,提升研发效率](#AI 驱动研发,提升研发效率)

各个角色使用的工具数量是多少?

[一体化 DevSecOps 平台有哪些优势?](#一体化 DevSecOps 平台有哪些优势?)


56%、74%、71%、65%、57% 这些数字和 DevSecOps 结合在一起,能勾勒出怎样的 DevSecOps 发展现状图呢?

基于 5010 份调研反馈,GitLab 发布了 2023 年全球 DevSecOps 报告《Security Without Sacrifices》,报告指出:

  • 56% 的受访者表示所在企业或组织在采用 DevOps/DevSecOps 方法论,这一比例在 2022 年为 47%;

  • 74% 的安全专家表示他们即将或者在未来三年内实践安全左移;

  • 71% 的安全专家表示,25% 的安全漏洞是由研发发现的,而这一比例在 2022 年为 53%(安全专家认可研发能在安全漏洞挖掘中发挥重要作用的占比上升,而不是研发挖掘的安全漏洞占比上升);

  • 65% 的研发表示他们正在使用或未来三年内将 AI 和 ML 应用到测试工作中;

  • 57% 的安全人员表示他们用了 6 个以上的工具,在研发中这一占比为 48%,运维中这一占比是 50%。

此外,报告对于落地实践 DevSecOps 过程中,安全责任的划分、多工具链使用、AI 赋能等方面的调研数据也做了分析。以下是部分报告的数据解读:

谁应该对应用程序安全负主要责任?

  • **研发人员角度:**44% 的受访者表示安全人员应该为安全负责;44% 的受访者表示研发人员应该为安全负责;只有 10% 的受访者表示运维应该为安全负责;

  • **安全人员角度:**30% 的受访者表示安全人员应该为安全负责,而这一比例在 2022 年是 70%;49% 的受访者表示研发人员应该为安全负责,而这一比例在 2022 年是 23%;20% 的受访者表示运维应该对安全负责,而这一比例在 2022 年是 6%;

  • **运维人员角度:**29% 的受访者表示安全人员应该为安全负责,而这一比例在 2022 年是 37%;44% 的受访者表示研发人员应该为安全负责,而这一比例在 2022 年是 33%;23% 的受访者表示运维应该是安全负责,而这一比例在 2022 年为 28%。

数据表明,认为研发应该对安全负责的占比在逐年上升,这说明安全左移理念在逐渐被大家认可并实践,另外也可以看出研发、安全、运维都应该为安全负责,这也是 DevSecOps 所倡导的:人人需要为安全负责。

安全实践的最大挑战

  • 43% 的受访者表示最大的挑战来自于研发过程中安全测试滞后,最终导致发布延迟;

  • 41% 的受访者表示很难确定漏洞修复的优先级问题

  • 34% 的受访者表示假阳性过多

  • 30% 的受访者表示很难去识别修复问题的真正人员

  • 23% 的受访者表示很难去追踪漏洞的状态

  • 16% 的受访者表示很难去理解漏洞的详情

  • 13% 的受访者表示测试不足或一致性不够

而在 2022 年,这些占比分别为 48%、52%、29%、28%、17%、16% 及 8%。

数据表明安全实践的主要难点在于安全问题的挖掘、梳理及修复,这也是 DevSecOps 难以全面落地的关键所在。不过在 AI/ML 的加持下,这一问题将得到有效解决。

AI 驱动研发,提升研发效率

  • 62% 的受访者表示他们已经在用 AI/ML 进行代码检查了;

  • 53% 的受访者表示在测试流程中使用了 bot(机器人);

  • 36% 的受访者表示在使用 AI/ML 工具进行代码审核;

  • 只有 5% 的受访者表示未用任何 AI/ML。

而这些数据在 2022 年分别为 51%、39%、31% 及 5%,可以看出 AI/ML 被越来越多的纳入到软件研发流程中,用 AI/ML 驱动研发,提升研发效率。

各个角色使用的工具数量是多少?

  • 研发人员角度: 1% 的受访者表示使用 1 个工具,51% 的受访者表示使用了 2-5 个工具,38% 的受访者表示使用了 6-10 个工具,6% 的受访者表示使用了 11-14 个工具,5% 的 受访者表示用到了 15 个以上的工具;而这些比例在 2022 年分别为 2%、37%、46%、12% 及 4%;

  • 安全人员角度: 1% 的受访者表示使用了 1 个工具,42% 的受访者表示使用了 2-5 个工具,43% 的受访者表示使用了 6-10 个工具,9% 的受访者表示使用了 11-14 个工具, 4% 的受访者表示使用了 15 个以上的工具;而这些比例在 2022 年分别为 2%、54%、35%、7% 及 3%;

  • 运维人员角度: 9% 的受访者表示使用了 1 个工具,41% 的受访者表示使用了 2-5 个工具,35% 的受访者表示使用了 6-10 个工具,8% 的受访者表示使用了 11-14 个工具, 7% 的企业使用了 15 个以上的工具;而这些比例在 2022 年为 3%、43%、43%、9% 及 3%。

从数据可知,使用多工具链是研发、安全、运维的常态,使用工具链在 2-14 个之间的占比高达 90% ,而复杂工具链会带来诸多问题,诸如数据孤岛、安全风险增大、沟通协作效率降低等问题。

一体化 DevSecOps 平台有哪些优势?

针对一体化 DevSecOps 平台的优势方面,报告指出:

  • 38% 的受访者表示能带来更加高效的 DevOps 实践

  • 37% 的受访者表示能带来更好的安全性

  • 36% 的受访者表示能带来更好的自动化效果

  • 34% 的受访者表示能节约时间、节省成本

  • 33% 的受访者表示能带来更好的协作

此外,报告对于企业所采用的软件研发模式、企业对于安全的反应、驱动 DevSecOps 大规模落地实践的主要因素、DevSecOps 的未来展望等方面做了数据分析,详情可以下载完整报告进行研读。

若想了解更多信息,戳 👉获取 《 GitLab 2023 年 DevSecOps 全球调研报告》完整 PDF。

相关推荐
tingkeiii20 小时前
gitlab克隆仓库报错fatal: unable to access ‘仓库地址xxxxxxxx‘
gitlab
dami_king1 天前
项目开源能够带来什么?从中得到了什么?
开源·gitlab·github
月如琉璃2 天前
0.gitlab ubuntu20.04 部署问题解决
gitlab
the丶only2 天前
单点登录平台Casdoor搭建与使用,集成gitlab同步创建删除账号
linux·运维·服务器·docker·gitlab
书生-w2 天前
Docker部署GitLab服务器
服务器·docker·gitlab
isolusion3 天前
gitlab安装
gitlab
Y编程小白3 天前
GitLab的安装和使用
gitlab
谢家小布柔3 天前
Gitlab
gitlab
catmes3 天前
使用docker compose安装gitlab
运维·docker·容器·gitlab·敏捷开发·devops
月如琉璃3 天前
2.利用docker进行gitlab服务器迁移
服务器·docker·gitlab