2017年DevSecOps社区调查:开发人员如何看待安全
Sonatype最近发布的2017年DevSecOps社区调查结果探讨了开发团队、DevOps和安全之间的关系。
3月21日,推出Nexus库的公司Sonatype发布了2017年DevSecOps社区调查结果。逾2292名技术专业人员回答了关于DevOps成熟度、安全在应用程序生命周期中的重要性和开源软件的看法。这些受访人员的构成比例是:开发人员21%、DevOps 22%、架构师14%、团队主管12%,其他是建构管理员、IT运营、AppSec专业人员、IT管理员等等。DZone和Sonatype公司促成了调查结果的实现,现在我们分享一些有趣的结果。如需查看完整调查结果,可点击此链接。
DevOps成熟度
在DevOps实践方面,26%的专业人员认为他们的组织机构遵循高成熟度的DevOps实践;41%的人员认为自己的团队正在尝试改进DevOps进程;33%的人员表示自己公司的DevOps实践不成熟。
安全
应用程序安全事件的比例从2014年(Sonatype 2014年调查结果)的14%增长到今年的28%。不管攻击次数是否增长,或者监控软件是否已得到改进以便于快速发现安全事件,或者以上两个因素均已实现,三年来的这种增长率都令人不安。另外一个有意思的数字是开发人员和AppSec专业人员的比例是100:1。
首席安全官:Nagatha Christie
应用程序安全专业人员通常在开发人员圈子内名声不佳,即使是践行DevOps的人也是如此。54%的受访者认为安全专业人员是“只说漏洞但无法解决漏洞的烦人精”。58%的受访者认为安全是Devops敏捷性的抑制剂。在DevOps进程方面,相较于位于成熟环境中的28%的受访者而言,位于进程不成熟环境中的47%的受访者认为安全阻碍进展。
这并不是说开发人员对应用程序安全的看法一定是负面的。调查结果显示,50%的开发人员意识到了安全的重要性,但他们认为没有时间正确地确保应用程序的安全。在所有的受访者中,仅有39%的人员在持续整合和持续交付进程中将安全测试自动化,而在DveOps实践成熟度高的组织机构中,有58%的受访者将安全测试自动化。