Google 发布:DevOps 2022现状报告

在过去的八年中,全球超过 33,000 名专业人士参与了Accelerate State of DevOps 调查,使其成为同类研究中规模最大、运行时间最长的一项。Accelerate State of DevOps 报告提供了数据驱动的行业洞察力,这些洞察力检查了推动软件交付以及运营和企业绩效的能力和实践。

在2021 年,有超过220亿条记录因数据泄露事件而暴露,数家大公司也因此遭受巨大影响和损失。因此,安全性仍然是企业的首要考虑因素,同时企业也致力于确保客户数据的安全以及他们的业务正常运行。

综合考虑到信息安全现状,Google Cloud 的 DevOps 研究和评估 ( DORA ) 团队在9月28日发布的 2022 Accelerate State of DevOps Report(文末查看获取报告方式)中着重关注安全问题。

保护软件供应链

为了分析安全与 DevOps 之间的关系,报告中探讨了软件供应链安全这一主题,该主题在前几年的调查中只涉及到了一小部分。DORA 团队使用了 Google 定义的 SLSA框架和美国国家标准研究院(NIST)的安全软件开发框架(SSDF)的供应链级别来评估组织,综合这两个框架能够探索影响组织如何实施和思考软件安全实践的技术和非技术方面。

总体来说,报告发现新兴安全实践的广泛采用超乎预期。在 SLSA 和 NIST 的 SSDF 推广的所有实践中,使用应用程序级安全扫描作为生产发布的持续集成/持续交付 (CI/CD) 系统的一部分是最常见的做法,63% 的受访者表示这是“非常”或“完全”成立。此外,保存代码历史和使用构建脚本也很成熟,而签署元数据(metadata)和需要两个人的审查过程还有很大的增长空间。

Google 发布:DevOps 2022现状报告_第1张图片

报告指出,企业在实现应用程序安全方面面临的最大挑战更多地与文化有关,即高信任、低责备的文化(high-trust, low-blame culture),而不是任何技术缺陷。与注重权力或规则的低信任、高责备文化相比,注重绩效的人更有可能采用新兴的安全实践。该报告指出,专注于加速软件交付而不实施有意义的 DevSecOps 最佳实践的企业发现自己处于一个适得其反的恶性循环,导致应用程序在生产环境中成功部署的频率降低。

不仅如此,报告结果表明,专注于建立有意义的安全实践的团队减少了开发人员的倦怠。为此,数据表明企业文化和现代开发流程(例如持续集成)是企业软件安全的最大驱动力,同时也是企业寻求改善其安全状况的最佳起点。

2022 新发现

今年 DORA 团队持续关注和探索软件交付和运营表现。在报告中,将使用四个关键指标对 DevOps 团队进行分类:部署频率(deployment frequency)、变更前置时间(lead time for changes)、平均恢复时间(time to restore service)和变更失败率(change failure rate),以及 DORA 团队去年引入的第五个指标,可靠性(reliability)。

软件交付表现

从这几个指标来看,受访者分为三类——高、中和低。在软件交付表现方面,今年的高绩效人员(high performer)群体融合了去年的高绩效人员和精英绩效人员(Elite)群体。

Google 发布:DevOps 2022现状报告_第2张图片

今年报告基于对1350名 DevOps 专业人士的调查。如下面图表中的百分比细分所示,高绩效人员(high performer)处于四年低点,低绩效人员(low performer)从 2021 年的 7% 急剧上升到 2022 年的 19%。然而,中绩效人员(medium performer)群体扩大到 69% 。也就是说,如果将今年的低、中和高群组与去年进行比较,就可以发现,总体上软件交付性能向略高的方向转变。今年的高绩效人员表现更好——他们的表现融合了去年的高绩效和精英(elite)群体。相较而言,低绩效人员的表现也比去年好,因为今年的低绩效人员是去年低绩效和中等绩效的集合。

DORA 团队计划进行进一步的研究,以帮助用户更好地理解这一转变,但就目前而言,持续发展的疫情可能会阻碍团队分享知识、协作和创新的能力,从而导致高绩效者和表现不佳者的数量增加。

Google 发布:DevOps 2022现状报告_第3张图片

运营表现

就 DevOps 而言,软件交付表现并不是全部,它还可以对企业的整体运营情况做出贡献。为了更深入地研究,DORA 团队对五个指标旨在代表的三个类别进行了群组分析:吞吐量(throughout)——代码更改的前置时间和部署频率的组合)、稳定性(stability)——恢复服务的时间和更改失败率的组合和运行性能(operational performance)——可靠性。

通过数据分析,出现了四种不同类型的 DevOps 组织,这些群组在实践和技术能力上存在显着差异,因此进一步细分为以下四类:

  • Starting:这个群组在任何维度上都表现得既不好也不差。该群组可能处于其产品、功能或服务开发的早期阶段。由于这个群体的人员更加专注于获得反馈,了解产品的市场契合度或者产品相关的延伸和探索,因此他们并不是太关注可靠性。
  • Flowing:这个群组在所有特性上都表现良好:高可靠性、高稳定性、高吞吐量。通过调研发现,只有 17% 的受访者能够达到这种状态。
  • Slowing:在这个群组中,受访者部署频率并不高,但是当他们准备开始部署时,部署成功的概率很大。在受访者中,有1/3都属于这个群组,这个群组也成为样本中最具代表性的群组。尽管这个群组中的部分企业正在努力逐步改进,但这些企业及其客户对目前的应用程序和产品状态还是非常满意的。
  • Retiring:这个群组的状态处于,正在开发一些对于他们和他们的客户仍然有价值,但不再处于积极开发中的服务或应用程序。

该报告还得出结论,在云上和为云构建软件的企业的组织绩效和表现比没有使用云的企业高 1.4 倍。使用公有云的受访者比例为 76%,高于 2021 年的 56%,而未使用云的受访者的比例从2021年的21%下降到了今年的10.5%。多个公共云的使用率为从2021年的21%上升到了26%,而 32.5% 的受访者表示所在企业正在使用私有云。

Google 发布:DevOps 2022现状报告_第4张图片

SEAL安全公众号回复关键词 “devops” 即可获取报告。

你可能感兴趣的:(devops软件开发信息安全)