2023 年 DevSecOps 全局报告 （ 英文 ）

2023年全球DevSecOps报告 没有牺牲的安全 2 目录 03执行摘要 04谁参加了调查？08导论 09检查在左移 12左移不是一次就完成了 14利用AI提高效率 16太多的安全工具 17DevSecOps平台的兴起 20展望未来 跟随我们： 3 执行摘要 组织表示，他们正在将安全性纳入软件开发生命周期的早期阶段-我们看到了开发人员发现的漏洞数量以及使用人工智能和机器学习等新技术进行安全测试和代码检查的实际结果。然而，摩擦仍然以责任不清和工具链不断扩大的形式存在。 DevOps和DevSecOps超过团队需要安全性和效率 56% 受访者报告使用DevOps或DevSecOps方法，高于2022年的 47%。 左移变得真实 根据受访者的说法，更好的安全性是DevSecOps平台的最大优势之一，以及更高效的DevOps实践，更容易的自动化。 节省成本和时间，以及更好的协作。我们将DevSecOps平台定义为单个应用程序 74% 71% 安全专业人员表示，他们要么左移，要么计划在未来三年内转移。 安全专业人士表示，至少有四分之一的安全漏洞被开发人员发现，而2022年这一比例为53%。 一个用户界面、统一的数据存储和嵌入在DevOps生命周期中的安全性 。 DevSecOps平台的最大优势 成本和 更轻松的自动化 节省时间 更好 更有效的DevOps实践 安全 更好的协作 65% 利用AI提高效率 有开发者表示，他们正在使用人工智能和机器学习进行测试工作或将在未来三年内进行。 57% 太多的安全工具 的安全受访者表示，他们使用六种或更多的工具，相比之下 ，48%的开发人员和50%的运营专业人员。 跟随我们： 4 谁参加了调查？ 我们在2023年3月收集了来自全球各行业和业务规模的开发、IT运营和安全领域的个人贡献者和领导者的5,010份调查回复。 我们使用了两种采样方法来收集数据： 1.我们通过GitLab的社交媒体渠道和电子邮件列表分发了调查。 2.Athird-partyresearchpartnerconductedpanelsampling,whichreducedbiasinthesample.Ourresearchpartneruseditsproprietaryaccesstolists,panels,anddatabasestogatheringqualityrespondsandcleanedthedatathroughfielingtoensure 数据质量。 以下是对受访者的更仔细的了解： 性别年龄 第一产业 287 跟随我们： 5 组织内的角色 跟随我们： 6 员工人数功能区 32% 39% 29% 跟随我们： 7 Region 跟随我们： 8 Introduction 自2019年开发者调查以来，我们一直在通过DevSecOps的视角探索开发、安全和运营团队之间的跨职能关系，以揭示对成功实践、问题领域和潜在解决方案的见解。 DevSecOps并不是一个新想法，但随着态度的变化和新技术的出现，它将继续发展。我们认为，重要的是要保持对DevSecOps如何变化的脉搏 两个主要原因。首先，为了了解事物的表现，我们必须能够对其进行衡量。我们的年度调查是一个机会，可以了解团队在DevSecOps方面取得的成功以及他们可能在哪里挣扎。其次，通过捕捉趋势 我们希望让软件开发团队——从个人贡献者到高管——深入了解如何从他们的 DevSecOps投资中获得最大收益。 今年的调查受访者在宏观经济影响越来越大的背景下提出了自己的观点。面对不断加剧的通货膨胀，迫在眉睫的经济衰退以及 随着全球供应链的挑战，许多组织都在为停滞或萎缩的增长做好准备。与此同时，组织面临着进行数字化转型以保持竞争力的压力。随着企业变得更加数字化和积累更多的数据，以及网络攻击者获得更复杂的技术和技术，保持软件供应链的安全变得越来越重要和困难。 在我们扩展的2023年全球DevSecOps报告系列的第一期中，我们正在研究组织在哪些方面努力向左转移安全性-将安全性嵌入到软件开发生命周期的早期。 安全性和运营团队在创建更安全的应用程序时？团队在哪里看到最大的胜利，还有什么工作要做？ 首先，我们将检查组织在努力向左转移安全性时采用了哪些技术和方法。我们还将关注围绕谁负责安全以及开发、安全和运营团队之间可能存在挥之不去的摩擦的变化。然后，我们将看到DevSecOps团队如何使用人工智能（AI）和机器学习（ML）来增强安全工作，以及团队关注AI/ML的影响。最后，我们将探讨如何。 安全团队正在着手处理复杂的工具链，以及他们如何在不牺牲的情况下提高效率和生产力 安全。 我们开始吧. 跟随我们： 9 您的DevSecOps实现包括哪些内 容？ 可观察性/监测 28% 30% 测试自动化 33% 持续集成/持续部署 安全性和治理/ 合规性 37% 45% DevOps/DevSecOps平台 在左边的换档 今年，受访者告诉我们，安全性向软件开发生命周期早期的巨大“左移”正在进行中。在过去的几年中，我们一直观察到安全性是组织的首要任务，并且这种趋势在2023年仍在继续。安全性 在云计算之后，在今年的主要投资重点中排名第二。同样，“安全性和治理/合规性” 在受访者所说的DevSecOps实施中排名第二。 2023年的首要投资重点 DevOps 云计算 安全 人工智能 跟随我们： 10 我们调查的安全专业人员分享了他们目前如何在软件开发生命周期中实现安全性，以及他们将在未来几年集中努力的地方。 云原生或无服务器的许可证合规性检查和安全功能（均为19％）在当前优先事项中名列前茅，而将安全性向左转移（29％）是来年的首要重点。近四分之三（74 ％）的安全专业人员表示，他们的组织已经向左转移或计划在未来三年内转移。 作为左移的一部分，组织正在从传统的软件开发方法迁移到DevSecOps。今年，超过一半(56%)的受访者表示使用DevOps或DevSecOps方法，高于2022年的47%。事实上，DevOps/DevSecOps是唯一一种在2023年出现增长的软件开发方法，其他方法都有所下降。精益表现出最大的下降，从2022年的29%下降到2023年的15%。 您的组织使用哪些软件方法？ 转移安全性（在开发过程的早期考虑安全性） 让开发人员运行SAST扫描 让开发人员运行DAST扫描 让开发人员进行容器扫描 依赖关系扫描 许可证合规性检查 云原生或无服务器的安全功能 0%25%50%75%100% 我们今天这样做我们计划今年我们计划在2-3 年内 我们计划在超过 3years 我们没有计划不确定 跟随我们： 11 左移在整个软件开发生命周期中带来了许多好处-最值得注意的是，开发，安全和运营团队聚集在一起，而不是在孤岛中工作。越来越多的是，当涉及到应用程序安全性时，没有一个团队感觉自己是独立的。今年，不到三分之一的 调查受访者（30%）表示他们“完全”负责应用程序安全（低于去年的48%） 。大多数受访者（53%）表示，他们作为一个更大团队的一部分负责应用程序安全——高于去年的44%。 您对组织中的应用程序安全性有多负责？ 同样，38%的安全专业人员告诉我们，他们越来越成为专注于安全的跨职能团队的一员，高于去年的29%。这些变化对团队如何合作产生了真正的影响。超过70％的安全专业人员表示，开发人员发现了四分之一或更多的安全漏洞，高于去年53％的安全专业人员。 根据安全性，开发人员发现的漏洞百分比 跟随我们： 12 谁主要负责应用程序安全，根据... Development 安全 Operations 跟随我们： 尽管组织正在取得进展，但仍有许多机会。组织将需要跟进他们的左移通过使安全测试尽可能接近开发人员 -使团队能够更早地发现漏洞并降低补救成本。此外，随着AI和ML成为软件开发生命周期中不可或缺的一部分，组织将需要确保安全团队配备正确的技能和工具，以充分利用AI/ML。最后，正如我们在过去的几次调查中所观察到的那样，工具链仍然是DevSecOps团队的痛点，因为点解决方案的数量继续超过整合的努力。 让我们深入研究今年的调查告诉我们这些差距以及团队在2023年需要考虑的问题。 左移不是一次就完成了 尽管认为自己对应用程序安全负有完全责任的受访者数量在2023年有所下降，但那些表示自己并不完全负责的受访者对应用程序安全的大部分责任确实有不同的看法。开发人员在说安全主要负责和开发主要负责之间平均分配。但是开发人员比安全或运营专业人员更有可能说安全。 主要负责，而安全专业人员比开发人员或运营专业人员更有可能说开发是主要负责。运营专业人员比开发人员更有可能说运营是 主要负责。 13 因此，尽管组织向左转移安全性的努力已经成功地使DevSecOps团队更广泛地意识到安全性是一种共同的责任，但开发人员和安全专业人员之间仍然存在着困惑。 此外，尤其是围绕安全测试的挫败感仍然存在，尽管有迹象表明情况正在改善。今年，有43％的安全专业人员表示，在开发周期中进行的测试为时已晚是挫败感的主要来源（在规模上排名第1或2 1-7，1是最令人沮丧的)，低于去年的48%。41%的安全专业人员表示，将漏洞修复列为优先事项是最令人沮丧的，低于去年的52%。与此同时，围绕误报、确定谁可以执行补救和跟踪漏洞状态的挫败感显示，与去年相比略有增加，这表明将安全测试集成到DevSecOps团队工作流程中应该成为组织继续关注的重点，作为他们转移安全性的努力的一部分。 根据Security的说法，安全测试遇到的最大挫折 2023年软件开发面临的最大挑战是什么？ 我们要求受访者用他们自己的话来分享他们对今年软件开发中最大挑战的看法。毫不奇怪，安全性是一个主要主题 。以下是一些受访者不得不说的话： “安全、安全、安全等等 安全...这不仅是现在的绝对必须，我们欠我们的客户， 我们的组织，我们的同事，我们自己，未来的DevOps 工程师和整个人类 尽我们所能，为我们的行业创造一个安全、可靠、合规和可扩展的未来。" –DevOps医疗保健工程师 “产品过于专注于推出新功能，而没有花时间关注安全性、代码质量和代码腐烂。” –现场可靠性工程师，媒体和娱乐 跟随我们： “安全变得越来越重要并迅速显示了瀑布等传统开发方法与更新的、基于产品的组织之间的差距。在某些方面，我认为成熟、有能力的团队和不太成熟的团队之间的差距是在增长而不是在缩小。” –DevOps业务服务/咨询负责人 “如何使AI模型更好地满足客户的需求并满足不断变化的安全挑战全球化。” –软件开发人员，政府 “确保软件的设计符合新兴的安全标准。” –操作工程师，计算机硬件/服务/软件/SaaS “有一个大量的漏洞分类和解决。" –安全工程师，计算机硬件/服务/软件/SaaS 利用AI提高效率 人工智能和机器学习在软件开发工作流程中越来越成熟，包括安全测试和代码检查。今年，超过一半(65%)的开发人员表示他们正在或将在未来三年内使用人工智能/机器学习。在今天使用人工智能/机器学习的开发人员中，62%的人表示他们使用人工智能/机器学习来检查代码，高于51% 去年;53％的人使用机器人进行测试（去年为39％）;36％的人使用AI/ML进行代码审查（去年为31％）。 根据开发，AI/ML的主要用途 跟随我们： 15 根据Security的说法，未来最重要的技能 跟随我们： AI/ML的兴起并非一帆风顺：绝大多数（67％）的安全受访者表示，他们担心 AI/ML功能对其工作的影响，而28％的受访者表示“非常”或“非常”。 根据安全的说法，与AI/ML相关的首要问题 尽管AI/ML在发展方面的普及程度越来越高，但随着安全专业人员调整其专业目标和优先事项，AI/M