下载|GitLab 2023 年 DevSecOps 全球调研报告:安全左移深入人心、AI/ML 蔚然成风

目录

谁应该对应用程序安全负主要责任?

安全实践的最大挑战

AI 驱动研发,提升研发效率

各个角色使用的工具数量是多少?

一体化 DevSecOps 平台有哪些优势?


56%、74%、71%、65%、57% 这些数字和 DevSecOps 结合在一起,能勾勒出怎样的 DevSecOps 发展现状图呢?

基于 5010 份调研反馈,GitLab 发布了 2023 年全球 DevSecOps 报告《Security Without Sacrifices》,报告指出:

  • 56% 的受访者表示所在企业或组织在采用 DevOps/DevSecOps 方法论,这一比例在 2022 年为 47%;

  • 74% 的安全专家表示他们即将或者在未来三年内实践安全左移;

  • 71% 的安全专家表示,25% 的安全漏洞是由研发发现的,而这一比例在 2022 年为 53%(安全专家认可研发能在安全漏洞挖掘中发挥重要作用的占比上升,而不是研发挖掘的安全漏洞占比上升);

  • 65% 的研发表示他们正在使用或未来三年内将 AI 和 ML 应用到测试工作中;

  • 57% 的安全人员表示他们用了 6 个以上的工具,在研发中这一占比为 48%,运维中这一占比是 50%。

此外,报告对于落地实践 DevSecOps 过程中,安全责任的划分、多工具链使用、AI 赋能等方面的调研数据也做了分析。以下是部分报告的数据解读:

谁应该对应用程序安全负主要责任?

  • 研发人员角度:44% 的受访者表示安全人员应该为安全负责;44% 的受访者表示研发人员应该为安全负责;只有 10% 的受访者表示运维应该为安全负责;

  • 安全人员角度:30% 的受访者表示安全人员应该为安全负责,而这一比例在 2022 年是 70%;49% 的受访者表示研发人员应该为安全负责,而这一比例在 2022 年是 23%;20% 的受访者表示运维应该对安全负责,而这一比例在 2022 年是 6%;

  • 运维人员角度:29% 的受访者表示安全人员应该为安全负责,而这一比例在 2022 年是 37%;44% 的受访者表示研发人员应该为安全负责,而这一比例在 2022 年是 33%;23% 的受访者表示运维应该是安全负责,而这一比例在 2022 年为 28%。

数据表明,认为研发应该对安全负责的占比在逐年上升,这说明安全左移理念在逐渐被大家认可并实践,另外也可以看出研发、安全、运维都应该为安全负责,这也是 DevSecOps 所倡导的:人人需要为安全负责。

图片

安全实践的最大挑战

  • 43% 的受访者表示最大的挑战来自于研发过程中安全测试滞后,最终导致发布延迟;

  • 41% 的受访者表示很难确定漏洞修复的优先级问题

  • 34% 的受访者表示假阳性过多

  • 30% 的受访者表示很难去识别修复问题的真正人员

  • 23% 的受访者表示很难去追踪漏洞的状态

  • 16% 的受访者表示很难去理解漏洞的详情

  • 13% 的受访者表示测试不足或一致性不够

而在 2022 年,这些占比分别为 48%、52%、29%、28%、17%、16% 及 8%。

数据表明安全实践的主要难点在于安全问题的挖掘、梳理及修复,这也是 DevSecOps 难以全面落地的关键所在。不过在 AI/ML 的加持下,这一问题将得到有效解决。

图片

AI 驱动研发,提升研发效率

  • 62% 的受访者表示他们已经在用 AI/ML 进行代码检查了;

  • 53% 的受访者表示在测试流程中使用了 bot(机器人);

  • 36% 的受访者表示在使用 AI/ML 工具进行代码审核;

  • 只有 5% 的受访者表示未用任何 AI/ML。

而这些数据在 2022 年分别为 51%、39%、31% 及 5%,可以看出 AI/ML 被越来越多的纳入到软件研发流程中,用 AI/ML 驱动研发,提升研发效率。

图片

各个角色使用的工具数量是多少?

  • 研发人员角度:1% 的受访者表示使用 1 个工具,51% 的受访者表示使用了 2-5 个工具,38% 的受访者表示使用了 6-10 个工具,6% 的受访者表示使用了 11-14 个工具, 5% 的 受访者表示用到了 15 个以上的工具;而这些比例在 2022 年分别为 2%、37%、46%、12% 及 4%;

  • 安全人员角度:1% 的受访者表示使用了 1 个工具,42% 的受访者表示使用了 2-5 个工具,43% 的受访者表示使用了 6-10 个工具,9% 的受访者表示使用了 11-14 个工具, 4% 的受访者表示使用了 15 个以上的工具;而这些比例在 2022 年分别为 2%、54%、35%、7% 及 3%;

  • 运维人员角度:9% 的受访者表示使用了 1 个工具,41% 的受访者表示使用了 2-5 个工具,35% 的受访者表示使用了 6-10 个工具,8% 的受访者表示使用了 11-14 个工具, 7% 的企业使用了 15 个以上的工具;而这些比例在 2022 年为 3%、43%、43%、9% 及 3%。

从数据可知,使用多工具链是研发、安全、运维的常态,使用工具链在 2-14 个之间的占比高达 90% ,而复杂工具链会带来诸多问题,诸如数据孤岛、安全风险增大、沟通协作效率降低等问题。

图片

一体化 DevSecOps 平台有哪些优势?

针对一体化 DevSecOps 平台的优势方面,报告指出:

  • 38% 的受访者表示能带来更加高效的 DevOps 实践

  • 37% 的受访者表示能带来更好的安全性

  • 36% 的受访者表示能带来更好的自动化效果

  • 34% 的受访者表示能节约时间、节省成本

  • 33% 的受访者表示能带来更好的协作

图片

此外,报告对于企业所采用的软件研发模式、企业对于安全的反应、驱动 DevSecOps 大规模落地实践的主要因素、DevSecOps 的未来展望等方面做了数据分析,详情可以下载完整报告进行研读。

若想了解更多信息,戳👉获取《 GitLab 2023 年 DevSecOps 全球调研报告》完整 PDF。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/6427.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

android adb命令获取处于当前屏幕的Activity

android adb命令获取处于当前屏幕的Activity 使用adb命令: adb shell dumpsys activity activities 输出,例如: ACTIVITY MANAGER ACTIVITIES (dumpsys activity activities) Display #0 (activities from top to bottom): * Task{38ef601 #5281 typ…

Java当中的栈

栈的理解 栈(Stack)是一种受限的线性数据结构,所谓受限是指栈只暴露栈顶和栈底的操作,其底层是由数组实现的。栈的特性是先进后出。 常用方法 注意上面的peek()方法和pop()方法的区别! 实例 import java.util.Stack…

grpc中间件之链路追踪(otel+jaeger)

参考文档 https://github.com/grpc-ecosystem/go-grpc-middleware/blob/main/examples/client/main.go https://github.com/grpc-ecosystem/go-grpc-middleware/blob/main/examples/server/main.go https://github.com/open-telemetry/opentelemetry-go/blob/main/example/jaeg…

sql中group by 的使用

1、概述 Group By 从字面意义上理解就是根据By指定的规则对数据进行分组,所谓的分组就是将一个数据集划分为若干个小区域,然后针对若干个小区域进行数据处理 2、原始表 3、简单的Group By 示例1 select 类别,数量 as 数量之和 from A gro…

android studio 离线打包配置push模块

1.依赖引入 SDK\libs aps-release.aar, aps-unipush-release.aar, gtc.aar, gtsdk-3.2.11.0.aar, 从android studio的sdk中找到对应的包放到HBuilder-Integrate-AS\simpleDemo\libs下面 2.打开build.gradle,在defaultConfig添加manifestPlaceholders节点&#xff0c…

【代码随想录 | Leetcode | 第十天】哈希表 | 三数之和 | 四数之和

前言 欢迎来到小K的Leetcode|代码随想录|专题化专栏,今天将为大家带来哈希法~三数之和 | 四数之和的分享✨ 目录 前言15. 三数之和18. 四数之和总结 15. 三数之和 ✨题目链接点这里 给你一个整数数组 nums ,判断是否存在三元组 [nums[i], nums[j], num…

JVM运行时区域——对象创建内存分配过程

新创建的对象,都存放在伊甸园区域,当垃圾回收时,将伊甸园区域的垃圾数据销毁,然后将存活的对象转移到幸存者0区域,之后创建的新的对象还是存放在伊甸园区域,等到再次垃圾回收后,将伊甸园区域和幸…

HTML5——基础知识及使用

HTML 文件基本结构 <html><head><title>第一个页面</title></head><body>hello world</body> </html> html 标签是整个 html 文件的根标签(最顶层标签).head 标签中写页面的属性.body 标签中写的是页面上显示的内容.title 标…

Ansible自动化运维学习——综合练习

目录 (一)练习一 1.新建一个role——app 2.创建文件 3.删除之前安装的httpd服务和apache用户 4.准备tasks任务 (1)创建组group.yml (2)创建用户user.yml (3)安装程序yum.yml (4)修改模板httpd.conf.j2 (5)编写templ.yml (6)编写start.yml (7)编写copyfile.yml (8…

Python爬虫技术及其原理详解

概要 随着互联网的发展&#xff0c;大量的数据被存储在网络上&#xff0c;而我们需要从中获取有用的信息。Python作为一种功能强大且易于学习的编程语言&#xff0c;被广泛用于网络爬虫的开发。本文将详细介绍Python爬虫所需的技术及其原理&#xff0c;并提供相关的代码案例。 …

Mac电脑文件夹无权限问题

sudo cp 16.5.zip /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport 走到之前的folder &#xff0c;右键选择get info更改權限, 再應用到所有子文件夹 右下解鎖再加自己Read & Write, -右邊拉下應該可以應用到所有子文件 这样就可以…

ES6——Iterator 和 for...of 循环

Iterator:遍历器 是一接口&#xff0c;为不同的数据结构提供统一的访问机制&#xff0c;只要当前数据结构部署了iterator接口&#xff0c;当前数据结构就可以遍历。 作用&#xff1a;1、为不同的数据结构&#xff0c;提供统一的访问机制 2、使当前数据结构的成员依次被访问 3…

[信号与系统系列] 复指数信号

正弦信号的向量表示 正弦信号由幅值、频率和初相位三个要素确定。由于在线性正弦稳态电路中&#xff0c;各处的电流和电压都是正弦信号&#xff0c;并且它们的角频率与正弦的角频率相同&#xff0c;因此&#xff0c;在进行正弦稳态电路分析时&#xff0c;对于正弦信号的幅值和…

真实节点、虚拟节点与影子节点的区别

真实节点、虚拟节点与影子节点的区别 本文将深入介绍真实节点、虚拟节点与影子节点是如何协同工作共同创建一个高性能的文档对象模型。 DOM&#xff08;Document Object Module文档对象模型&#xff09;正如它所描述的那样。网站的 HTML 树由一个名为document的对象表示。在这…

C语言学习笔记 码云及git使用教程-05

目录 一、码云简介 二、码云注册 1.点击右上角的注册按钮 2.填写相应的注册信息 3.使用账号密码进行登陆 三、创建仓库 1.如图新建 2.定义仓库相应参数 3.初始化readme文件 4.效果 5.开源设置 四、git管理 1.安装git 2.打开桌面上的Git bash 3.进行仓库克隆 4. 在其他盘…

查找和二叉树(基础知识和基本操作)

查找&#xff1a; 1.二分查找&#xff1a;先定一个大范围&#xff0c;想一个数&#xff0c;看是在起始范围到中间范围还是中间范围到结束范围&#xff0c;依次循环直到确定值&#xff08;相当于一直把范围折半&#xff0c;直到找到&#xff09; while(low<high) {int mid(…

基于UDP的可靠传输,文件+目录(C++,Qt)

一、基础知识 UDP&#xff08;UserDatagramProtocol&#xff09;是一个简单的面向消息的传输层协议&#xff0c;尽管UDP提供标头和有效负载的完整性验证&#xff08;通过校验和&#xff09;&#xff0c;但它不保证向上层协议提供消息传递&#xff0c;并且UDP层在发送后不会保留…

K8S初级入门系列之一-概述

一、前言 K8S经过多年的发展&#xff0c;构建了云原生的基石&#xff0c;成为了云原生时代的统治者。我将用三个博客系列全面&#xff0c;循序渐进的介绍K8S相关知识。 初级入门系列&#xff0c;主要针对K8S初学者&#xff0c;以及希望对K8S有所了解的研发人员&#xff0c;重点…

机器学习术语解析与应用(二)

文章目录 &#x1f340;目标函数&#xff08;Objective Function&#xff09;&#x1f340;GPU加速&#xff08;GPU Acceleration&#xff09;&#x1f340;迁移学习&#xff08;Transfer Learning&#xff09;&#x1f340;自然语言处理&#xff08;Natural Language Processi…

1 快速构建mybatis项目

1.1 使用Maven的quickstart框架 注意是不出现w的quickstart&#xff1a; 1.2 加入依赖 <dependencies><dependency><groupId>junit</groupId><artifactId>junit</artifactId><version>4.11</version><scope>test</s…