下载｜GitLab 2023 年 DevSecOps 全球调研报告：安全左移深入人心、AI/ML 蔚然成风

谁应该对应用程序安全负主要责任？

安全实践的最大挑战

AI 驱动研发，提升研发效率

各个角色使用的工具数量是多少？

一体化 DevSecOps 平台有哪些优势？

56%、74%、71%、65%、57% 这些数字和 DevSecOps 结合在一起，能勾勒出怎样的 DevSecOps 发展现状图呢？

基于 5010 份调研反馈，GitLab 发布了 2023 年全球 DevSecOps 报告《Security Without Sacrifices》，报告指出：

56% 的受访者表示所在企业或组织在采用 DevOps/DevSecOps 方法论，这一比例在 2022 年为 47%；
74% 的安全专家表示他们即将或者在未来三年内实践安全左移；
71% 的安全专家表示，25% 的安全漏洞是由研发发现的，而这一比例在 2022 年为 53%（安全专家认可研发能在安全漏洞挖掘中发挥重要作用的占比上升，而不是研发挖掘的安全漏洞占比上升）；
65% 的研发表示他们正在使用或未来三年内将 AI 和 ML 应用到测试工作中；
57% 的安全人员表示他们用了 6 个以上的工具，在研发中这一占比为 48%，运维中这一占比是 50%。

此外，报告对于落地实践 DevSecOps 过程中，安全责任的划分、多工具链使用、AI 赋能等方面的调研数据也做了分析。以下是部分报告的数据解读：

谁应该对应用程序安全负主要责任？

研发人员角度：44% 的受访者表示安全人员应该为安全负责；44% 的受访者表示研发人员应该为安全负责；只有 10% 的受访者表示运维应该为安全负责；
安全人员角度：30% 的受访者表示安全人员应该为安全负责，而这一比例在 2022 年是 70%；49% 的受访者表示研发人员应该为安全负责，而这一比例在 2022 年是 23%；20% 的受访者表示运维应该对安全负责，而这一比例在 2022 年是 6%；
运维人员角度：29% 的受访者表示安全人员应该为安全负责，而这一比例在 2022 年是 37%；44% 的受访者表示研发人员应该为安全负责，而这一比例在 2022 年是 33%；23% 的受访者表示运维应该是安全负责，而这一比例在 2022 年为 28%。

数据表明，认为研发应该对安全负责的占比在逐年上升，这说明安全左移理念在逐渐被大家认可并实践，另外也可以看出研发、安全、运维都应该为安全负责，这也是 DevSecOps 所倡导的：人人需要为安全负责。

安全实践的最大挑战

而在 2022 年，这些占比分别为 48%、52%、29%、28%、17%、16% 及 8%。

数据表明安全实践的主要难点在于安全问题的挖掘、梳理及修复，这也是 DevSecOps 难以全面落地的关键所在。不过在 AI/ML 的加持下，这一问题将得到有效解决。

而这些数据在 2022 年分别为 51%、39%、31% 及 5%，可以看出 AI/ML 被越来越多的纳入到软件研发流程中，用 AI/ML 驱动研发，提升研发效率。

研发人员角度：1% 的受访者表示使用 1 个工具，51% 的受访者表示使用了 2-5 个工具，38% 的受访者表示使用了 6-10 个工具，6% 的受访者表示使用了 11-14 个工具， 5% 的受访者表示用到了 15 个以上的工具；而这些比例在 2022 年分别为 2%、37%、46%、12% 及 4%；
安全人员角度：1% 的受访者表示使用了 1 个工具，42% 的受访者表示使用了 2-5 个工具，43% 的受访者表示使用了 6-10 个工具，9% 的受访者表示使用了 11-14 个工具， 4% 的受访者表示使用了 15 个以上的工具；而这些比例在 2022 年分别为 2%、54%、35%、7% 及 3%；
运维人员角度：9% 的受访者表示使用了 1 个工具，41% 的受访者表示使用了 2-5 个工具，35% 的受访者表示使用了 6-10 个工具，8% 的受访者表示使用了 11-14 个工具， 7% 的企业使用了 15 个以上的工具；而这些比例在 2022 年为 3%、43%、43%、9% 及 3%。

从数据可知，使用多工具链是研发、安全、运维的常态，使用工具链在 2-14 个之间的占比高达 90% ，而复杂工具链会带来诸多问题，诸如数据孤岛、安全风险增大、沟通协作效率降低等问题。