2023 年 DevSecOps 全局报告 （ 英文 ）

没有牺牲的安全 目录 14利用AI提高效率16太多的安全工具17DevSecOps平台的兴起20展望未来 03执行摘要04谁参加了调查？08导论09检查在左移12左移不是一次就完成了 执行摘要 组织表示，他们正在将安全性纳入软件开发生命周期的早期阶段-我们看到了开发人员发现的漏洞数量以及使用人工智能和机器学习等新技术进行安全测试和代码检查的实际结果。然而，摩擦仍然以责任不清和工具链不断扩大的形式存在。 团队需要安全性和效率 DevOps和DevSecOps超过 受访者报告使用DevOps或DevSecOps方法，高于2022年的47%。 56% 根据受访者的说法，更好的安全性是DevSecOps平台的最大优势之一，以及更高效的DevOps实践，更容易的自动化。节省成本和时间，以及更好的协作。我们将DevSecOps平台定义为单个应用程序 左移变得真实 安全专业人员表示，他们要么左移，要么计划在未来三年内转移。 74% 一个用户界面、统一的数据存储和嵌入在DevOps生命周期中的安全性。 71% 安全专业人士表示，至少有四分之一的安全漏洞被开发人员发现，而2022年这一比例为53%。 DevSecOps平台的最大优势 利用AI提高效率 65%有开发者表示，他们正在使用人工智能和机器学习进行测试工作或将在未来三年内进行。 太多的安全工具 57%的安全受访者表示，他们使用六种或更多的工具，相比之下，48%的开发人员和50%的运营专业人员。 谁参加了调查？ 我们在2023年3月收集了来自全球各行业和业务规模的开发、IT运营和安全领域的个人贡献者和领导者的5,010份调查回复。 我们使用了两种采样方法来收集数据： 1.我们通过GitLab的社交媒体渠道和电子邮件列表分发了调查。 2.Athird-partyresearchpartnerconductedpanelsampling,whichreducedbiasinthesample.Ourresearchpartneruseditsproprietaryaccesstolists,panels,anddatabasestogatheringqualityrespondsandcleanedthedatathroughfielingtoensure数据质量。 以下是对受访者的更仔细的了解： Introduction 自2019年开发者调查以来，我们一直在通过DevSecOps的视角探索开发、安全和运营团队之间的跨职能关系，以揭示对成功实践、问题领域和潜在解决方案的见解。 在我们扩展的2023年全球DevSecOps报告系列的第一期中，我们正在研究组织在哪些方面努力向左转移安全性-将安全性嵌入到软件开发生命周期的早期。安全性和运营团队在创建更安全的应用程序时？团队在哪里看到最大的胜利，还有什么工作要做？ DevSecOps并不是一个新想法，但随着态度的变化和新技术的出现，它将继续发展。我们认为，重要的是要保持对DevSecOps如何变化的脉搏两个主要原因。首先，为了了解事物的表现，我们必须能够对其进行衡量。我们的年度调查是一个机会，可以了解团队在DevSecOps方面取得的成功以及他们可能在哪里挣扎。其次，通过捕捉趋势我们希望让软件开发团队——从个人贡献者到高管——深入了解如何从他们的DevSecOps投资中获得最大收益。 首先，我们将检查组织在努力向左转移安全性时采用了哪些技术和方法。我们还将关注围绕谁负责安全以及开发、安全和运营团队之间可能存在挥之不去的摩擦的变化。然后，我们将看到DevSecOps团队如何使用人工智能（AI）和机器学习（ML）来增强安全工作，以及团队关注AI/ML的影响。最后，我们将探讨如何。 安全团队正在着手处理复杂的工具链，以及他们如何在不牺牲的情况下提高效率和生产力安全。 今年的调查受访者在宏观经济影响越来越大的背景下提出了自己的观点。面对不断加剧的通货膨胀，迫在眉睫的经济衰退以及 随着全球供应链的挑战，许多组织都在为停滞或萎缩的增长做好准备。与此同时，组织面临着进行数字化转型以保持竞争力的压力。随着企业变得更加数字化和积累更多的数据，以及网络攻击者获得更复杂的技术和技术，保持软件供应链的安全变得越来越重要和困难。 我们开始吧. 在左边的换档 今年，受访者告诉我们，安全性向软件开发生命周期早期的巨大“左移”正在进行中。在过去的几年中，我们一直观察到安全性是组织的首要任务，并且这种趋势在2023年仍在继续。安全性 您的DevSecOps实现包括哪些内容？ 在云计算之后，在今年的主要投资重点中排名第二。同样，“安全性和治理/合规性”在受访者所说的DevSecOps实施中排名第二。 我们调查的安全专业人员分享了他们目前如何在软件开发生命周期中实现安全性，以及他们将在未来几年集中努力的地方。 作为左移的一部分，组织正在从传统的软件开发方法迁移到DevSecOps。今年，超过一半(56%)的受访者表示使用DevOps或DevSecOps方法，高于2022年的47%。事实上，DevOps/DevSecOps是唯一一种在2023年出现增长的软件开发方法，其他方法都有所下降。精益表现出最大的下降，从2022年的29%下降到2023年的15%。 云原生或无服务器的许可证合规性检查和安全功能（均为19％）在当前优先事项中名列前茅，而将安全性向左转移（29％）是来年的首要重点。近四分之三（74％）的安全专业人员表示，他们的组织已经向左转移或计划在未来三年内转移。 左移在整个软件开发生命周期中带来了许多好处-最值得注意的是，开发，安全和运营团队聚集在一起，而不是在孤岛中工作。越来越多的是，当涉及到应用程序安全性时，没有一个团队感觉自己是独立的。今年，不到三分之一的调查受访者（30%）表示他们“完全”负责应用程序安全（低于去年的48%）。大多数受访者（53%）表示，他们作为一个更大团队的一部分负责应用程序安全——高于去年的44%。 同样，38%的安全专业人员告诉我们，他们越来越成为专注于安全的跨职能团队的一员，高于去年的29%。这些变化对团队如何合作产生了真正的影响。超过70％的安全专业人员表示，开发人员发现了四分之一或更多的安全漏洞，高于去年53％的安全专业人员。 左移不是一次就完成了 尽管组织正在取得进展，但仍有许多机会。组织将需要跟进他们的左移 通过使安全测试尽可能接近开发人员 -使团队能够更早地发现漏洞并降低补救成本。此外，随着AI和ML成为软件开发生命周期中不可或缺的一部分，组织将需要确保安全团队配备正确的技能和工具，以充分利用AI/ML。最后，正如我们在过去的几次调查中所观察到的那样，工具链仍然是DevSecOps团队的痛点，因为点解决方案的数量继续超过整合的努力。 尽管认为自己对应用程序安全负有完全责任的受访者数量在2023年有所下降，但那些表示自己并不完全负责的受访者对应用程序安全的大部分责任确实有不同的看法。开发人员在说安全主要负责和开发主要负责之间平均分配。但是开发人员比安全或运营专业人员更有可能说安全。 主要负责，而安全专业人员比开发人员或运营专业人员更有可能说开发是主要负责。运营专业人员比开发人员更有可能说运营是 主要负责。 让我们深入研究今年的调查告诉我们这些差距以及团队在2023年需要考虑的问题。 谁主要负责应用程序安全，根据... 因此，尽管组织向左转移安全性的努力已经成功地使DevSecOps团队更广泛地意识到安全性是一种共同的责任，但开发人员和安全专业人员之间仍然存在着困惑。 2023年软件开发面临的最大挑战是什么？ 此外，尤其是围绕安全测试的挫败感仍然存在，尽管有迹象表明情况正在改善。今年，有43％的安全专业人员表示，在开发周期中进行的测试为时已晚是挫败感的主要来源（在规模上排名第1或21-7，1是最令人沮丧的)，低于去年的48%。41%的安全专业人员表示，将漏洞修复列为优先事项是最令人沮丧的，低于去年的52%。与此同时，围绕误报、确定谁可以执行补救和跟踪漏洞状态的挫败感显示，与去年相比略有增加，这表明将安全测试集成到DevSecOps团队工作流程中应该成为组织继续关注的重点，作为他们转移安全性的努力的一部分。 我们要求受访者用他们自己的话来分享他们对今年软件开发中最大挑战的看法。毫不奇怪，安全性是一个主要主题。以下是一些受访者不得不说的话： 根据Security的说法，安全测试遇到的最大挫折 “安全、安全、安全等等 安全...这不仅是现在的绝对必须，我们欠我们的客户，我们的组织，我们的同事，我们自己，未来的DevOps工程师和整个人类尽我们所能，为我们的行业创造一个安全、可靠、合规和可扩展的未来。" –DevOps医疗保健工程师 “产品过于专注于推出新功能，而没有花时间关注安全性、代码质量和代码腐烂。” –现场可靠性工程师，媒体和娱乐 利用AI提高效率 “安全变得越来越重要并迅速显示了瀑布等传统开发方法与更新的、基于产品的组织之间的差距。在某些方面，我认为成熟、有能力的团队和不太成熟的团队之间的差距是在增长而不是在缩小。” –DevOps业务服务/咨询负责人 人工智能和机器学习在软件开发工作流程中越来越成熟，包括安全测试和代码检查。今年，超过一半(65%)的开发人员表示他们正在或将在未来三年内使用人工智能/机器学习。在今天使用人工智能/机器学习的开发人员中，62%的人表示他们使用人工智能/机器学习来检查代码，高于51% “如何使AI模型更好地满足客户的需求并满足不断变化的安全挑战全球化。” 去年;53％的人使用机器人进行测试（去年为39％）;36％的人使用AI/ML进行代码审查（去年为31％）。 –软件开发人员，政府 “确保软件的设计符合新兴的安全标准。” –操作工程师，计算机硬件/服务/软件/ SaaS “有一个大量的漏洞分类和解决。"–安全工程师，计算机硬件/服务/软件/ SaaS AI/ML的兴起并非一帆风顺：绝大多数（67％）的安全受访者表示，他们担心AI/ML功能对其工作的影响，而28％的受访者表示“非常”或“非常”。 尽管AI/ML在发展方面的普及程度越来越高，但随着安全专业人员调整其专业目标和优先事项，AI/ML正在与其他高影响力领域竞争。去年，安全专业人员将AI/ML视为促进其职业生涯发展的最重要技能，并且安全专业人员比开发人员或运营专业人员更有可能选择AI/ML。今年，虽然近四分之一（23％）的安全专业人员选择了AI/ML，但他们更加重视诸如软技能（31％），主题专业知识（30％）以及指标和定量见解（27％）等技能。 太多的安全工具 工具链管理仍然是DevSecOps团队感受到压力的一个领域。今年，66%的调查受访者(和69%的安全受访者)告诉我们，他们希望整合他们的工具链。特别是安全专业人员报告说，使用 当我们询问有太多的工具对他们的软件开发实践有什么负面影响时，最大的安全受访者群体(28%)表示，花时间维护工具链使得很难保持合规性；27%的人表示很难在许多不同的工具上进行一致的监控；26%的人表示很难在所有工具上获得见解。 很多工具——57%的安全受访者表示他们使用六种或更多的工具，相比之下，48%的开发人员和50%的运营专业人员使用工具。更重要的是，安全团队似乎正在转移 尽管存在这些挑战，但“将自己的工具”带到工作中的能力仍然具有吸引力：68％的调查受访者（以及67％的安全性受访者)表示，他们为目前的工作带来了至少一种首选的开发工具。 使用更多的工具：今年，表示使用2-5个工具的安全受访者数量大幅下降（从54％下降到42％），表示使用6-10个工具的安全受访者数量也相应增加（从35％上升到43％）。 根据...，团队用于软件开发的工具数量... DevSecOps平台的兴起 推动DevSecOps规模化的因素，据... 在当今不确定的宏观