2023年全球CIO报告-可观测性和安全性融合

©2023Dynatrace CIO报告 可观测性和安全性融合 在云中实现更快、更安全的创新 报告内容 第1章 数字化转型无止境 第2章 强调快速交付软件导致要在质量和安全之间做出取舍 第3章 自动化是软件交付的关键 第4章 协作推动成功转型 第5章 可观测性和安全性正在融合 附录 方法和数据总结 Observabilityandsecurityconvergence|2 对更快、更安全交付软件的需求不断增长 随着世界越来越依赖数字服务，组织正面临来自客户和竞争对手越来越大的压力，要求他们提供更快、更安全的创新。但DevOps团队很难在满足这一需求的同时，始终保持软件的可靠性和安全性。创新步伐加快，现代数字服务的复杂性日益增加，再加上为其提供支持的云技术，这些因素让软件缺陷和漏洞更容易进入生产环境。 组织目前面临更急迫的问题是实现软件交付管道的自动化，并改善DevOps和安全团队之间的协作。这些能力是减轻团队压力并确保他们接受共同目标以提高转型计划成功率的关键。 本报告依据Dynatrace委托进行的一项全球调查的结果，该调查旨在研究组织在实现这些目标时遇到的挑战。此外，该报告着重了解组织如何通过更统一、更智能的可观测性和安全性新方法来克服这些挑战。 的组织表示在过去12个月里数字化转型已经加速。 的组织预计数字化转型将继续加速。 数字化转型无止境 随着组织对更快、更好、更安全的软件创新需求的不断增加，数字化转型已经无所不在。推动这一转型的程序代码为相关数字服务提供技术支持，而这些数字服务则定义了用户如何开展银行业务、购物、接受政府服务和沟通。 从零售商和金融服务提供商到制造商和能源公司，各个行业的组织也在转型。组织的目标是提高效率并提供流程创新，使其领先于竞争对手，并帮助他们应对宏观经济不确定性带来的挑战。 第1章：数字化转型无止境 软件创新步伐加快 组织将软件更新部署到生产中的频率： 78%部署更新频率不超过12小时 54%部署更新频率不超过 2小时 20%部署更新频率不超过 1分钟 强调快速交付软件导致要在质量和安全之间做出取舍 55% 的组织承认，他们被迫在质 41% 量、安全和用户体验之间做 出取舍，以满足快速转型的需要。 的CIO表示，由于满足加快 创新需求的压力越来越大，他们必须牺牲代码质量和用户体验，这一比例比去年高 出22%。 34% 的CIO表示，由于承受满足 加快创新需求的巨大压力，他们不得不牺牲代码安 全性。 28% 的CISO相信，应用程序 在投入生产环境之前 已经过全面漏洞测试。 34% 的组织拥有成熟的 DevSecOps文化。 来源：Dynatrace2022CISO报告 来源：Dynatrace2022CISO报告 随着团队努力加快转型，平衡创新与服务可靠性和安全性变得越来越困难。软件更新频率不断加快，加上当今云原生架构的复杂性越来越高，导致缺陷和漏洞更容易不被发现并进入生产环境。 由于每天都要进行多次代码部署，团队根本没有足够的时间像以前每月甚至每季度发布周期那样严格测试代码。这正在推动向DevSecOps等工作实践的发展，使DevOps和安全团队能够以快速创新要求的速度和规模确保代码安全，但这些方法仍处于起步阶段。 910 万美元 是组织在开发、安全和运营自动化方面的平均年度支出。 Observabilityandsecurityconvergence|6 是预计组织到2024年对DevSecOps自动化年度投资的平均增长。 的DevSecOps团队将时间花费在检测代码质量问题和漏洞等手动任务上，导致创新时间减少。 自动化是软件交付的关键 随着业务需求的增加和可支配资源的减少，DevSecOps团队需要找到更有效的方法来加快创新，同时又不牺牲软件质量和安全性。手动方法根本无法扩展并且会产生人为错误。团队无法承受耗费时间来寻找并解决问题。相反，他们需要专注于通过DevSecOps等实践，尽可能快速有效地为用户带来高质量、安全的创新。 这些需求正在推动对整个软件交付管道自动化的投资增加，从而减少工作浪费，使团队能够专注于创造真正具有商业价值的任务。 为此，DevSecOps和安全团队需要从运行时环 境创建反馈循环，以便他们采用的人工智能(AI) 解决方案可以使用这种上下文来计算风险和影响。 然而，为了让组织接受这些更加自动化的方法，团队还需要能够相信人工智能正在得出正确结论并做出最佳决策。 第3章：自动化是软件交付的关键 组织正在增加对自动化的投资 组织平均每年在开发、安全和运营流程自动化方面的支出（美元） 1750万美元 2415万美元 590万美元 820万美元 +38% 430万美元 570万美元 +35% 250万美元 310万美元+25% 340万美元 440万美元+28% 0百万MM5百万1千万1500万2000万2500万 超过2万人 +38% 1-2万人 组织规模（员工） 5000-10,000人 3000-5000人 1.000-3,000人 20222024（预计） 第3章：自动化是软件交付的关键 70%的CIO表示，他们需要提高对AI决策准确 性的信任，然后才能对更多 CI/CD管道进行自动化并推动应用程序自我修复。 为提高软件质量而对自动化进行投资的主要领域包括： 在生产环境中持续测试软件质量（例如，右移）自动化发布验证以阻止缺陷进入生产环境 只有25%的CIO表示人工智能驱动的应用程序漏洞优先级排序是自动化投资的优先领域，相比之下，63%*的CISO表示需要在两者之间加强 协调。 Dynatrace2022CISO报告 Observabilityandsecurityconvergence|9 第3章：自动化是软件交付的关键 为提高软件安全而对自动化进行投资的主要领域包括： 在生产环境中持续测试软件安全（右移） 自动检测和阻止零日和未知漏洞 在开发周期的早期持续测试软件安全性（左移） 94% 的CIO表示，将DevSecOps文化扩展到更多团队和应用程序是 加速数字化转型以及促进更快、更安全发布软件的关键。 27% 的CIO表示，他们的团队完全遵守DevSecOps文化。 Observabilityandsecurityconvergence|10 第4章 协作推动成功转型 他们更愿意固守通常是孤立的传统工作方式。 数字化转型需要团队合作。因此，IT领导者越来越希望采用DevSecOps文化，将DevOps和安全团队结合在一起以加速创新。然而，这些团队通常对新方法的好处持怀疑态度， 由于团队通常依赖不同的数据流来完成工作，这会产生孤立的工具集，导致出现多个版本的真实情况。这阻碍了团队合作解决问题的能力，或了解个人贡献对转型项目产生的更广泛影响。团队出现异议且经常无法开展工作，导致相互指责并需要召开“战情”团队会议来解决出现的问题，这导致了时间浪费和创新延迟。 第4章：协作推动成功转型 CIO将以下方面列为DevSecOps的最大阻碍： 安全团队不信任开发人员，也不愿意接受DevSecOps 开发人员认为安全团队是创新的阻碍 DevOps和安全团队之间的孤立文化妨碍了协作 第5章 可观测性和安全性正在融合 组织认识到他们需要一种新的软件交付方法，以满足对更快、更好和更安全数字体验的需求。他们无法承受在创新、安全和可靠性之间做出取舍。 为取得成功，组织需要强化DevOps和安全团队的密切合作，并增强他们的信心，相信可以在不牺牲安全性的情况下进行快速创新。因此，这些团队所需的解决方案要能实时提供精确可靠的答案。而最佳实现方案就是将可观测性和安全性融合在一个AI驱动平台中，该平台可以打破团队之间的孤岛，并将所需的全部数据汇集在一起，以加速创新、提供顺畅的用户体验并维护安全的应用程序。 的CIO表示，可观测性和安全实践的融合对于构建DevSecOps文化至关重要。 的IT领导者表示，在DevOps和安全项目中增加AIOps的使用是扩大DevSecOps的关键。 第5章：可观测性和安全性正在融合 交付可靠运行软件的最重要因素 57% 47% 35% 31% 能够获取所有指标、日志和跟踪 以进行按需查询和分析 能够从可观测性数据中获取实时洞察，因此在质量评估和交付过程中更具实用性 团队无需手动分析或查看可观测性数据来获取答案，使团队能专注创新 能够在完整上下文中对所有可观测性数据进行实时分析，因此团队可以实现CI/CD管道自动化 Dynatrace的不同之处 世界需要软件才能完美运行。因此，Dynatrace®将可观测性、AIOps和应用程序安全性结合在一个统一的平台中，为团队提供所需的精确方案和智能自动化，以便大规模提供卓越的数字体验。我们全面的可观测性方法（我们称之为“正确的云计算”）使全球的组织能够简化云复杂性、加速创新，并在现代云中事半功倍。 Observabilityandsecurityconvergence|14 可观测性和安全性融合|15 研究方法 本报告基于Dynatrace委托ColemanParkes进行的一项全球调查，调查对象为拥有1000名以上员工的大型企业中涉及 DevOps管理的1303名CIO和高级IT从业人员。 受访者样本包括：美国200人，拉丁美洲100人，欧洲603人，中东150人，亚太地区250人。有关各地区的详细调查结果，请参阅全球数据摘要附录。 受访者样本包括：美国200人，巴西和墨西哥各50人。 第1章：数字化转型无止境 美国巴西墨西哥 组织表示数字化转型在过去12个月已经加速 89% 100% 92% 组织认为数字化转型将继续加速26%22%78% 组织表示数字化转型正在稳定或与去年的速度相同 74% 78% 82% 第1章：数字化转型无止境 组织部署软件更新的平均速度 美国巴西墨西哥 不超过1分钟 30% 2% 2% 不超过2小时64%12%20% 不超过12小时 89% 84% 90% 第2章：强调快速交付软件导致要在质量和安全之间做出取舍 美国巴西墨西哥 组织承认，他们被迫在质量、安全和用户体验之间做出取舍，以满足快速转型的需要 64% 44% 58% CIO表示，由于满足加快创新需求的压力越来越大，他们必须牺牲代码质量和用户体验42%20%28% 相比去年增加 26% -6% -2% CIO表示，由于承受满足加快创新需求的巨大压力，他们不得不牺牲代码安全性28%4%24% CISO确信，应用程序在投入生产环境之前已经过全面漏洞测试 28% 16% 14% 组织表示他们拥有成熟的DevSecOps文化32%54%28% 第3章：自动化是软件交付的关键 美国巴西墨西哥 DevSecOps团队将时间花费在检测代码质量问题和漏洞等手动任务上，导致创新时间减少 29% 31% 31% 相比去年有所增加2%1%1% 组织在开发、安全和运营自动化方面的平均年度支出 1820万美元 270万美元 200万美元 预计组织到2024年对DevSecOps自动化年度投资的平均增长34%33%31% CIO表示，人工智能驱动的应用程序漏洞优先级排序是自动化投资的优先领域 31% 30% 22% CIO表示，人工智能驱动的应用程序漏洞优先级排序是自动化投资的优先领域68%82%80% CIO表示，他们需要提高对AI决策准确性的信任，然后才能对更多CI/CD管道进行自动化并推动应用程序自我修复 76% 88% 92% 第3章：自动化是软件交付的关键 提高软件质量自动化投资的主要领域：提高软件安全性自动化投资的主要领域： 美国巴西墨西哥 在生产环境中持续测试软件质量 51% 74% 72% 自动化发布验证以阻止缺陷进入生产环境36%4