下载|GitLab 2023 年 DevSecOps 全球调研报告:安全左移深入人心、AI/ML 蔚然成风

目录

谁应该对应用程序安全负主要责任?

安全实践的最大挑战

AI 驱动研发,提升研发效率

各个角色使用的工具数量是多少?

一体化 DevSecOps 平台有哪些优势?


56%、74%、71%、65%、57% 这些数字和 DevSecOps 结合在一起,能勾勒出怎样的 DevSecOps 发展现状图呢?

基于 5010 份调研反馈,GitLab 发布了 2023 年全球 DevSecOps 报告《Security Without Sacrifices》,报告指出:

  • 56% 的受访者表示所在企业或组织在采用 DevOps/DevSecOps 方法论,这一比例在 2022 年为 47%;

  • 74% 的安全专家表示他们即将或者在未来三年内实践安全左移;

  • 71% 的安全专家表示,25% 的安全漏洞是由研发发现的,而这一比例在 2022 年为 53%(安全专家认可研发能在安全漏洞挖掘中发挥重要作用的占比上升,而不是研发挖掘的安全漏洞占比上升);

  • 65% 的研发表示他们正在使用或未来三年内将 AI 和 ML 应用到测试工作中;

  • 57% 的安全人员表示他们用了 6 个以上的工具,在研发中这一占比为 48%,运维中这一占比是 50%。

此外,报告对于落地实践 DevSecOps 过程中,安全责任的划分、多工具链使用、AI 赋能等方面的调研数据也做了分析。以下是部分报告的数据解读:

谁应该对应用程序安全负主要责任?

  • 研发人员角度:44% 的受访者表示安全人员应该为安全负责;44% 的受访者表示研发人员应该为安全负责;只有 10% 的受访者表示运维应该为安全负责;

  • 安全人员角度:30% 的受访者表示安全人员应该为安全负责,而这一比例在 2022 年是 70%;49% 的受访者表示研发人员应该为安全负责,而这一比例在 2022 年是 23%;20% 的受访者表示运维应该对安全负责,而这一比例在 2022 年是 6%;

  • 运维人员角度:29% 的受访者表示安全人员应该为安全负责,而这一比例在 2022 年是 37%;44% 的受访者表示研发人员应该为安全负责,而这一比例在 2022 年是 33%;23% 的受访者表示运维应该是安全负责,而这一比例在 2022 年为 28%。

数据表明,认为研发应该对安全负责的占比在逐年上升,这说明安全左移理念在逐渐被大家认可并实践,另外也可以看出研发、安全、运维都应该为安全负责,这也是 DevSecOps 所倡导的:人人需要为安全负责。

图片

安全实践的最大挑战

  • 43% 的受访者表示最大的挑战来自于研发过程中安全测试滞后,最终导致发布延迟;

  • 41% 的受访者表示很难确定漏洞修复的优先级问题

  • 34% 的受访者表示假阳性过多

  • 30% 的受访者表示很难去识别修复问题的真正人员

  • 23% 的受访者表示很难去追踪漏洞的状态

  • 16% 的受访者表示很难去理解漏洞的详情

  • 13% 的受访者表示测试不足或一致性不够

而在 2022 年,这些占比分别为 48%、52%、29%、28%、17%、16% 及 8%。

数据表明安全实践的主要难点在于安全问题的挖掘、梳理及修复,这也是 DevSecOps 难以全面落地的关键所在。不过在 AI/ML 的加持下,这一问题将得到有效解决。

图片

AI 驱动研发,提升研发效率

  • 62% 的受访者表示他们已经在用 AI/ML 进行代码检查了;

  • 53% 的受访者表示在测试流程中使用了 bot(机器人);

  • 36% 的受访者表示在使用 AI/ML 工具进行代码审核;

  • 只有 5% 的受访者表示未用任何 AI/ML。

而这些数据在 2022 年分别为 51%、39%、31% 及 5%,可以看出 AI/ML 被越来越多的纳入到软件研发流程中,用 AI/ML 驱动研发,提升研发效率。

图片

各个角色使用的工具数量是多少?

  • 研发人员角度:1% 的受访者表示使用 1 个工具,51% 的受访者表示使用了 2-5 个工具,38% 的受访者表示使用了 6-10 个工具,6% 的受访者表示使用了 11-14 个工具, 5% 的 受访者表示用到了 15 个以上的工具;而这些比例在 2022 年分别为 2%、37%、46%、12% 及 4%;

  • 安全人员角度:1% 的受访者表示使用了 1 个工具,42% 的受访者表示使用了 2-5 个工具,43% 的受访者表示使用了 6-10 个工具,9% 的受访者表示使用了 11-14 个工具, 4% 的受访者表示使用了 15 个以上的工具;而这些比例在 2022 年分别为 2%、54%、35%、7% 及 3%;

  • 运维人员角度:9% 的受访者表示使用了 1 个工具,41% 的受访者表示使用了 2-5 个工具,35% 的受访者表示使用了 6-10 个工具,8% 的受访者表示使用了 11-14 个工具, 7% 的企业使用了 15 个以上的工具;而这些比例在 2022 年为 3%、43%、43%、9% 及 3%。

从数据可知,使用多工具链是研发、安全、运维的常态,使用工具链在 2-14 个之间的占比高达 90% ,而复杂工具链会带来诸多问题,诸如数据孤岛、安全风险增大、沟通协作效率降低等问题。

图片

一体化 DevSecOps 平台有哪些优势?

针对一体化 DevSecOps 平台的优势方面,报告指出:

  • 38% 的受访者表示能带来更加高效的 DevOps 实践

  • 37% 的受访者表示能带来更好的安全性

  • 36% 的受访者表示能带来更好的自动化效果

  • 34% 的受访者表示能节约时间、节省成本

  • 33% 的受访者表示能带来更好的协作

图片

此外,报告对于企业所采用的软件研发模式、企业对于安全的反应、驱动 DevSecOps 大规模落地实践的主要因素、DevSecOps 的未来展望等方面做了数据分析,详情可以下载完整报告进行研读。

若想了解更多信息,戳👉获取《 GitLab 2023 年 DevSecOps 全球调研报告》完整 PDF。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/42925.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

MySQL一些知识

六、MySQL命令参数 七、远程登录 use mysql 八、SQL语句和常见的SQL操作 九、数据库和表的创建及插入 指定字段名称,按照表的字段名称顺序写: 指定字段名称: 字段名称可以不全部指定:

K8s Service网络详解(二)

Kube Proxy Kubernetes 在设计之初就充分考虑了针对容器的服务发现与负载均衡机制。 Service 资源,可以通过 kube-proxy 配合 cloud provider 来适应不同的应用场景。 Service相关的事情都由Node节点上的 kube-proxy处理。在Service创建时Kubernetes会分配IP给Ser…

vue3-Vite原理

1. vite的优势 1. 极速的服务启动2. 轻量快速的预加载.....2. 对vite的理解(和webpack对比说明) webpack要经过打包,然后在开发阶段启动服务器vite不需要打包 下图的"准备"就是编译的意思。 css的内容会编译程一个字符串。 组件会…

海盗王基于golang重制版的商城服务端

海盗王原始的商城服务端,附带有很多其他功能(如GM留言管理,商品管理接口),配置起来非常麻烦,而且运行时问题也很多,经常会出现弹出停止响应,无法正常提供服务。 在很早的时候&#x…

系统架构设计师-软件架构设计(1)

目录 一、软件架构的概念 1、架构的本质 2、架构的作用 二、架构发展历史 三、架构的 “4 1” 视图 1、逻辑视图(Logical View) 2、开发视图(Development View) 3、进程视图(Process View) 4、物理视图…

【车载开发系列】AUTOSAR DemComponent和DemDTC

【车载开发系列】AUTOSAR DemComponent和DemDTC 【车载开发系列】AUTOSAR DemComponent和DemDTC 【车载开发系列】AUTOSAR DemComponent和DemDTC一. DemComponent概念二. DemDTC概念三. 常用设置参数DemDTCClass1) DemDTCFunctional2)DemDTCSeverity3&am…

ChatGPT开放自定义系统级别的指令,可设置偏好变成专属助理

OpenAI官方消息https://openai.com/blog/custom-instructions-for-chatgpt OpenAI为其大型语言模型接口ChatGPT引入了自定义指令,旨在为用户提供更加量身定制和个性化的体验,可以设置您的偏好,ChatGPT将在未来的所有对话中记住它们。 该功…

PhpStudy靶场首页管理

PhpStudy靶场首页管理 一、源码一二、源码二三、源码三四、源码四 一、源码一 index.html <!DOCTYPE html> <html><head><meta charset"UTF-8"><title>靶场访问首页</title><style>body {background-color: #f2f2f2;colo…

Python采集某网站小视频内容, m3u8视频内容下载

目录标题 前言环境使用:模块使用:代码实现步骤代码展示尾语 前言 嗨喽~大家好呀&#xff0c;这里是魔王呐 ❤ ~! 环境使用: python 3.8 运行代码 pycharm 2021.2 辅助敲代码 模块使用: import requests >>> pip install requests 内置模块 你安装好python环境就…

Clion开发STM32之W5500系列(NTP服务封装)

概述 在w5500基础库中进行封装&#xff0c;获取服务端的时间&#xff0c;来校准本地时间。本次使用的方案是通过ntp获取时间定时器更新保证时间准确。 NTP封装 头文件 /*******************************************************************************Copyright (c) [sc…

【业务功能篇48】后端接口开发的统一规范

业务背景&#xff1a;日常工作中&#xff0c;我们开发接口时&#xff0c;一般都会涉及到参数校验、异常处理、封装结果返回等处理。而我们项目有时为了快速迭代&#xff0c;在这方面上有所疏忽&#xff0c;后续导致代码维护比较难&#xff0c;不同的开发人员的不同习惯&#xf…

整合spring cloud云服务架构 - 企业分布式微服务云架构构建

1. 介绍 Commonservice-system是一个大型分布式、微服务、面向企业的JavaEE体系快速研发平台&#xff0c;基于模块化、服务化、原子化、热插拔的设计思想&#xff0c;使用成熟领先的无商业限制的主流开源技术构建。采用服务化的组件开发模式&#xff0c;可实现复杂的业务功能。…

玩转ChatGPT:Custom instructions (vol. 1)

一、写在前面 据说GPT-4又被削了&#xff0c;前几天让TA改代码&#xff0c;来来回回好几次才成功。 可以看到之前3小时25条的限制&#xff0c;现在改成了3小时50条&#xff0c;可不可以理解为&#xff1a;以前一个指令能完成的任务&#xff0c;现在得两条指令&#xff1f; 可…

leetcode743. 网络延迟时间 DJ

https://leetcode.cn/problems/network-delay-time/ 有 n 个网络节点&#xff0c;标记为 1 到 n。 给你一个列表 times&#xff0c;表示信号经过 有向 边的传递时间。 times[i] (ui, vi, wi)&#xff0c;其中 ui 是源节点&#xff0c;vi 是目标节点&#xff0c; wi 是一个信…

ip、域名、DNS、CDN概念

1、概念 ip地址 在网络世界里, 一台服务器或者说一台网络设备对应着一个ip地址, 如果我们需要访问指定的网络设备的资源, 那么我们就需要知道这个ip地址, 然后才能去访问它. 这就好像, 我想去朋友家里, 我必须先知道他家的住址, 才能去拜访它. 在互联网世界中, 所有的通信都是…

react+redux异步操作数据

reactredux异步操作数据 redux中操作异步方法&#xff0c;主要是&#xff1a; 1、借助createAsyncThunk()封装异步方法&#xff1b;2、通过extraReducers处理异步方法触发后的具体逻辑&#xff0c;操作派生的state 1、异步操作的slice import { createSlice, createAsyncThunk…

Spring MVC -- 返回数据(静态页面+非静态页面+JSON对象+请求转发与请求重定向)

目录 1. 返回静态页面 2. 返回非静态页面 2.1 ResponseBody 返回页面内容 2.2 RestController ResponseBody Controller 2.3 示例:实现简单计算的功能 3. 返回JSON对象 3.1 实现登录功能&#xff0c;返回 JSON 对象 4. 请求转发(forward)或请求重定向(redirect) 4.1 请…

计讯物联5G千兆网关TG463赋能无人船应用方案,开启自动巡检的智能模式

方案背景 水电站、水库、堤坝等水利工程水下构筑物常年处于水下&#xff0c;并在复杂的水流环境下运行&#xff0c;难免会出现磨蚀、露筋等损伤&#xff0c;而传统的安全监测方式一般是通过潜水员检查上层水柱或通过降低水位进行人工巡查&#xff0c;不仅成本高&#xff0c;效…

STM32(HAL库)驱动AD8232心率传感器

目录 1、简介 2、CubeMX初始化配置 2.1 基础配置 2.1.1 SYS配置 2.1.2 RCC配置 2.2 ADC外设配置 2.3 串口外设配置 2.4 GPIO配置 2.5 项目生成 3、KEIL端程序整合 3.1 串口重映射 3.2 ADC数据采集 3.3 主函数代码整合 4 硬件连接 5 效果展示 1、简介 本文通过STM32…

Vue3 Vite electron 开发桌面程序

Electron是一个跨平台的桌面应用程序开发框架&#xff0c;它允许开发人员使用Web技术&#xff08;如HTML、CSS和JavaScript&#xff09;构建桌面应用程序&#xff0c;这些应用程序可以在Windows、macOS和Linux等操作系统上运行。 Electron的核心是Chromium浏览器内核和Node.js…