下载|GitLab 2023 年 DevSecOps 全球调研报告:安全左移深入人心、AI/ML 蔚然成风

news2024/11/26 9:43:53

目录

谁应该对应用程序安全负主要责任?

安全实践的最大挑战

AI 驱动研发,提升研发效率

各个角色使用的工具数量是多少?

一体化 DevSecOps 平台有哪些优势?


56%、74%、71%、65%、57% 这些数字和 DevSecOps 结合在一起,能勾勒出怎样的 DevSecOps 发展现状图呢?

基于 5010 份调研反馈,GitLab 发布了 2023 年全球 DevSecOps 报告《Security Without Sacrifices》,报告指出:

  • 56% 的受访者表示所在企业或组织在采用 DevOps/DevSecOps 方法论,这一比例在 2022 年为 47%;

  • 74% 的安全专家表示他们即将或者在未来三年内实践安全左移;

  • 71% 的安全专家表示,25% 的安全漏洞是由研发发现的,而这一比例在 2022 年为 53%(安全专家认可研发能在安全漏洞挖掘中发挥重要作用的占比上升,而不是研发挖掘的安全漏洞占比上升);

  • 65% 的研发表示他们正在使用或未来三年内将 AI 和 ML 应用到测试工作中;

  • 57% 的安全人员表示他们用了 6 个以上的工具,在研发中这一占比为 48%,运维中这一占比是 50%。

此外,报告对于落地实践 DevSecOps 过程中,安全责任的划分、多工具链使用、AI 赋能等方面的调研数据也做了分析。以下是部分报告的数据解读:

谁应该对应用程序安全负主要责任?

  • 研发人员角度:44% 的受访者表示安全人员应该为安全负责;44% 的受访者表示研发人员应该为安全负责;只有 10% 的受访者表示运维应该为安全负责;

  • 安全人员角度:30% 的受访者表示安全人员应该为安全负责,而这一比例在 2022 年是 70%;49% 的受访者表示研发人员应该为安全负责,而这一比例在 2022 年是 23%;20% 的受访者表示运维应该对安全负责,而这一比例在 2022 年是 6%;

  • 运维人员角度:29% 的受访者表示安全人员应该为安全负责,而这一比例在 2022 年是 37%;44% 的受访者表示研发人员应该为安全负责,而这一比例在 2022 年是 33%;23% 的受访者表示运维应该是安全负责,而这一比例在 2022 年为 28%。

数据表明,认为研发应该对安全负责的占比在逐年上升,这说明安全左移理念在逐渐被大家认可并实践,另外也可以看出研发、安全、运维都应该为安全负责,这也是 DevSecOps 所倡导的:人人需要为安全负责。

图片

安全实践的最大挑战

  • 43% 的受访者表示最大的挑战来自于研发过程中安全测试滞后,最终导致发布延迟;

  • 41% 的受访者表示很难确定漏洞修复的优先级问题

  • 34% 的受访者表示假阳性过多

  • 30% 的受访者表示很难去识别修复问题的真正人员

  • 23% 的受访者表示很难去追踪漏洞的状态

  • 16% 的受访者表示很难去理解漏洞的详情

  • 13% 的受访者表示测试不足或一致性不够

而在 2022 年,这些占比分别为 48%、52%、29%、28%、17%、16% 及 8%。

数据表明安全实践的主要难点在于安全问题的挖掘、梳理及修复,这也是 DevSecOps 难以全面落地的关键所在。不过在 AI/ML 的加持下,这一问题将得到有效解决。

图片

AI 驱动研发,提升研发效率

  • 62% 的受访者表示他们已经在用 AI/ML 进行代码检查了;

  • 53% 的受访者表示在测试流程中使用了 bot(机器人);

  • 36% 的受访者表示在使用 AI/ML 工具进行代码审核;

  • 只有 5% 的受访者表示未用任何 AI/ML。

而这些数据在 2022 年分别为 51%、39%、31% 及 5%,可以看出 AI/ML 被越来越多的纳入到软件研发流程中,用 AI/ML 驱动研发,提升研发效率。

图片

各个角色使用的工具数量是多少?

  • 研发人员角度:1% 的受访者表示使用 1 个工具,51% 的受访者表示使用了 2-5 个工具,38% 的受访者表示使用了 6-10 个工具,6% 的受访者表示使用了 11-14 个工具, 5% 的 受访者表示用到了 15 个以上的工具;而这些比例在 2022 年分别为 2%、37%、46%、12% 及 4%;

  • 安全人员角度:1% 的受访者表示使用了 1 个工具,42% 的受访者表示使用了 2-5 个工具,43% 的受访者表示使用了 6-10 个工具,9% 的受访者表示使用了 11-14 个工具, 4% 的受访者表示使用了 15 个以上的工具;而这些比例在 2022 年分别为 2%、54%、35%、7% 及 3%;

  • 运维人员角度:9% 的受访者表示使用了 1 个工具,41% 的受访者表示使用了 2-5 个工具,35% 的受访者表示使用了 6-10 个工具,8% 的受访者表示使用了 11-14 个工具, 7% 的企业使用了 15 个以上的工具;而这些比例在 2022 年为 3%、43%、43%、9% 及 3%。

从数据可知,使用多工具链是研发、安全、运维的常态,使用工具链在 2-14 个之间的占比高达 90% ,而复杂工具链会带来诸多问题,诸如数据孤岛、安全风险增大、沟通协作效率降低等问题。

图片

一体化 DevSecOps 平台有哪些优势?

针对一体化 DevSecOps 平台的优势方面,报告指出:

  • 38% 的受访者表示能带来更加高效的 DevOps 实践

  • 37% 的受访者表示能带来更好的安全性

  • 36% 的受访者表示能带来更好的自动化效果

  • 34% 的受访者表示能节约时间、节省成本

  • 33% 的受访者表示能带来更好的协作

图片

此外,报告对于企业所采用的软件研发模式、企业对于安全的反应、驱动 DevSecOps 大规模落地实践的主要因素、DevSecOps 的未来展望等方面做了数据分析,详情可以下载完整报告进行研读。

若想了解更多信息,戳👉获取《 GitLab 2023 年 DevSecOps 全球调研报告》完整 PDF。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/780647.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Java -- 元注解

元注解 就是 Java标准库中 原生的注解,有点类似于 Java类 中的 Object,由于添加在其他注解上 Java总共有四个元注解,他们的功能如下: Target(ElementType.ANNOTATION_TYPE):指定该注解可以用于注解类、接口或枚举类型…

element 表格里,每一行都循环使用el-popover组件,关闭按钮失效问题如何解决?

具体代码 <!DOCTYPE html> <html lang"zh"><head><meta charset"UTF-8"><title></title><link rel"stylesheet" href"https://unpkg.com/element-ui/lib/theme-chalk/index.css"><styl…

Linux Misc 驱动-编写驱动例程基于iTOP-STM32P157开发板

首先我们回想一下注册杂项设备的三大流程&#xff0c;我们在 Windows 上面新建 misc.c 文件&#xff0c;并用 sourceinsight 打开。我们可以将上次编写的 helloworld.c 里面的代码拷贝到 misc.c 文件&#xff0c;并修改为如下图所示 添加头文件 /*注册杂项设备头文件*/ #inc…

辅助驾驶功能开发-功能规范篇(23)-2-Mobileye NOP功能规范

5.2 状态机要求 5.2.1 NOP/HWP 状态机 NOP/HWP状态机如下所示&#xff1a; 下表总结了这些状态&#xff1a; 状态描述Passive不满足功能条件&#xff0c;功能无法控制车辆执行器。Standby满足功能条件。该功能不是由驾驶员激活的。功能不控制车辆执行器。Active - Main功能由…

海盗王基于golang重制版的商城服务端

海盗王原始的商城服务端&#xff0c;附带有很多其他功能&#xff08;如GM留言管理&#xff0c;商品管理接口&#xff09;&#xff0c;配置起来非常麻烦&#xff0c;而且运行时问题也很多&#xff0c;经常会出现弹出停止响应&#xff0c;无法正常提供服务。 在很早的时候&#x…

NTFS SSD USB 硬盘盒写入未结束拔出后Linux可识别,Windows不识别,报错无法访问

windows平台修复过程&#xff1a; 故障 管理员权限打开cmd&#xff0c;执行指令 chkdsk.exe /F /R f: C:\Windows\system32>chkdsk.exe /F /R f: 文件系统的类型是 NTFS。 卷标是 YeQiang-Data。 阶段 1: 检查基本文件系统结构... 已处理 2520 个文件记录。 文件验证完…

zabbix安装Grafana

一、web访问 https://s3-us-west-2.amazonaws.com/grafana-releases/release/grafana-4.6.1-1.x86_64.rpm [rootserver ~] yum localinstall -y grafana-4.6.1-1.x86_64.rpm //yum方式安装本地rpm并自动解决依赖关系 [rootserver ~] grafana-cli plugins install alexanderzob…

探秘Spring中Bean的注解宝典:解读存取Bean的相关注解及用法

目录 存储Bean对象Controller(控制器存储)Service(服务存储)Repository(仓库存储)Component(组件存储)Configuration(配置存储)Bean重命名Bean 获取Bean对象属性注入构造方法注入Setter注入Resource(注入关键字) 存储Bean对象 将对象存储在 Spring 中&#xff0c;有两种注解类…

00_ubuntu_开发环境的搭建

ubuntu 的版本22.04 2023-07-21 1.卸载firefox dpkg --get-selections |grep firefox // 查看安装包的信息 sudo apt-get purge firefox firefox-locale-en firefox-locale-zh-hans // 卸载相应的包 2.下载google安装包并安装 wget https://dl.google.com/linux/direct/goo…

【Window系统】安装FFmpeg教程

目录 1、下载FFmpeg 2、配置环境变量 3、检验和测试 1、下载FFmpeg 两个下载路径&#xff1a; Github直链下载&#xff1a;Releases BtbN/FFmpeg-Builds (github.com)蓝奏云下载&#xff1a;ffmpeg-n5.0-latest-win64-lgpl-shared-5.0.zip - 蓝奏云 2、配置环境变量 将…

15matlab数据分析多项式的相乘和相除(matlab程序)

1.简述 xlsread和xlswrit函数 在MATLAB中经常会用到数据的读取&#xff0c;首先是从Excel中读取数据到MATLAB中去。下面给出原始Excel数据内容&#xff1a; 在MATLAB读取结果如下&#xff1a; mxlsread(fanjufei.xls,1,A1:C3)m 1 2 3 4 5 6 …

yum镜像源更新很慢,不管是阿里源还是清华源

今天想要再Centos7上安装docker测试&#xff0c;但是发现不管是阿里源还是清华源 yum makecache都更新的特别慢。有大佬知道啥原因不&#xff1f; 坐标成都&#xff0c;联通宽带300M

W801 ADC功能,基于CDK Demo以及Arduino平台测试

W801 ADC功能&#xff0c;基于CDK Demo以及Arduino平台测试 &#x1f33c;W801开发板&#xff08;HLK-W801 详细资料见&#xff1a;https://h.hlktech.com/Mobile/download/fdetail/170.html&#xff09; &#x1f4d3;W801 ADC简介 &#x1f4d1;集成 4 路 12 比特 ADC&…

华为eNSP:ospf的配置

一、拓扑图 二、路由器的配置 1、路由器依据规划配置接口IP AR1: <Huawei>system-view [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 10.10.10.1 24 [Huawei-GigabitEthernet0/0/0]qu AR2: <Huawei>system-view [Huawei]int g0/0/0 [Huawei-Gi…

sql:是否在时间段内

判断给定时间是否在区间内&#xff0c;由于结束时间可能为空&#xff0c;若为空表示长期&#xff1b;希望在 end_date 可以延长180天作为最终的 end_date -- okAND ((ic.price_end_date is null and ic.price_start_date < 2022-01-22) or (ic.price_end_date is not null …

C++ GDAL找出多时相遥感影像缺失的日期并自动生成新的全零图像作为替补

本文介绍基于C 语言的GDAL库&#xff0c;基于一个存储大量遥感影像的文件夹&#xff0c;依据每一景遥感影像的文件名中表示日期的那个字段&#xff0c;找出这些遥感影像中缺失的成像日期&#xff0c;并新生成多个像元值全部为0的栅格文件&#xff0c;作为这些缺失日期当日的遥感…

PHP8知识详解:PHP语言优势

PHP起源于自由软件&#xff0c;并且得到了不断的迭代更新&#xff0c;在web开发领域独领风骚&#xff0c;得到了广大使用者的喜爱&#xff0c;PHP作为一款优秀的脚本语言&#xff0c;具有以下优势&#xff1a; 1、源码开源&#xff1a;所有的PHP源代码&#xff0c;你都能从PHP官…

HTTP 什么样的响应才会被缓存

下面来讨论什么样的响应会被缓存&#xff0c;以及使用好已经缓存好的条件是什么。 缓存分为两步&#xff0c;首先将响应缓存下来&#xff0c;第二步将要发起一个请求的时候检查当前缓存是否可以使用缓存了的响应。 (1) 请求方法可以被缓存理解&#xff08;不只于 GET 方法&…

【游戏行业部】反外挂技术的革新:如何有效应对 FPS 外挂的威胁

FPS 游戏外挂现状和泛滥原因 在线多人的 FPS 游戏是实时性要求最高的游戏类型之一。在这种游戏中&#xff0c;玩家的一瞬间判断和反应能力会直接决定胜负。然而&#xff0c;网络延迟和实时加载的问题经常会导致游戏卡顿&#xff0c;这会极大地影响玩家的游戏体验。为了解决这个…

Java-WebSocket

请点击下面工程名称&#xff0c;跳转到代码的仓库页面&#xff0c;将工程 下载下来 Demo Code 里有详细的注释 TestWebSocket