GitLab近日的調(diào)查顯示，隨著越來越多的團(tuán)隊(duì)采用DevOps，整個(gè)軟件開發(fā)團(tuán)隊(duì)的角色已經(jīng)改變。

來自全球21個(gè)國(guó)家/地區(qū)的3,650多名受訪者進(jìn)行的調(diào)查發(fā)現(xiàn)，DevOps采用和實(shí)施新工具的比率不斷提高，導(dǎo)致開發(fā)人員、安全和運(yùn)營(yíng)團(tuán)隊(duì)的工作職能、工具選擇和組織結(jié)構(gòu)圖發(fā)生了巨大變化。

GitLab首席執(zhí)行官Sid Sijbrandij說：

今年的全球DevSecOps調(diào)查顯示，成功的DevOps實(shí)踐人員比以往任何時(shí)候都多，他們報(bào)告的發(fā)布時(shí)間大大縮短，真正實(shí)現(xiàn)了持續(xù)的集成/部署，并且在“安全左移”和安全性方面取得了進(jìn)展。

也就是說，仍有大量工作要做，尤其是在測(cè)試和安全領(lǐng)域。我們期待著隨著團(tuán)隊(duì)適應(yīng)利用新技術(shù)和工作角色轉(zhuǎn)變，團(tuán)隊(duì)之間的協(xié)作和測(cè)試也會(huì)得到進(jìn)一步改進(jìn)。

對(duì)于開發(fā)人員、運(yùn)營(yíng)和安全團(tuán)隊(duì)來說，這是一個(gè)瞬息萬(wàn)變的世界。如果操作正確，DevOps可以大大提高企業(yè)的利潤(rùn)，但是要實(shí)現(xiàn)真正的DevSecOps仍然有許多障礙需要克服。

DevOps的普及和開發(fā)團(tuán)隊(duì)角色轉(zhuǎn)變

現(xiàn)在，每家公司都是一家軟件公司，并且要推動(dòng)業(yè)務(wù)發(fā)展，對(duì)于團(tuán)隊(duì)來說，了解開發(fā)人員的角色如何演變以及它如何影響安全性，運(yùn)營(yíng)和測(cè)試團(tuán)隊(duì)的職責(zé)顯得尤為重要。

開發(fā)人員和運(yùn)營(yíng)團(tuán)隊(duì)之間的界線越來越模糊，因?yàn)?5％的開發(fā)人員表示他們定義和/或創(chuàng)建其應(yīng)用程序所運(yùn)行的基礎(chǔ)結(jié)構(gòu)，而14％的開發(fā)人員實(shí)際監(jiān)視和響應(yīng)該基礎(chǔ)結(jié)構(gòu)傳統(tǒng)上由運(yùn)營(yíng)機(jī)構(gòu)負(fù)責(zé)。

此外，超過18％的開發(fā)人員使用工具代碼進(jìn)行生產(chǎn)監(jiān)控，而12％的開發(fā)人員在發(fā)生事件時(shí)將其作為升級(jí)點(diǎn)。

DevOps的采用率也有所提高，25％的公司處于3至5年實(shí)踐的DevOps“最佳位置”，而另外37％的公司進(jìn)展順利，擁有1至3年的經(jīng)驗(yàn)。

作為此實(shí)施的一部分，許多人還看到了連續(xù)部署的好處：將近60％的用戶每天，每天或每幾天進(jìn)行多次部署（去年為45％）。

隨著越來越多的團(tuán)隊(duì)習(xí)慣于在工作中使用DevOps，隨著職責(zé)開始重疊，跨軟件開發(fā)團(tuán)隊(duì)的角色也開始發(fā)生變化。70％的運(yùn)營(yíng)專業(yè)人員報(bào)告說，開發(fā)人員可以配置自己的環(huán)境，這表明新流程和不斷變化的技術(shù)帶來的責(zé)任正在轉(zhuǎn)移。

安全團(tuán)隊(duì)不清楚職責(zé)

開發(fā)人員和安全團(tuán)隊(duì)之間仍然存在明顯的脫節(jié)，不確定誰(shuí)應(yīng)該負(fù)責(zé)安全工作。與測(cè)試人員（23％）和運(yùn)營(yíng)專業(yè)人員（21％）相比，超過25％的開發(fā)人員表示對(duì)安全負(fù)責(zé)。

對(duì)于安全團(tuán)隊(duì)，需要更加明確指責(zé)，33％的安全團(tuán)隊(duì)成員說他們對(duì)安全負(fù)責(zé)，而29％（幾乎一樣多）的成員表示他們認(rèn)為每個(gè)人都應(yīng)對(duì)安全負(fù)責(zé)。

報(bào)告指出，開發(fā)人員在開發(fā)的最早階段沒有發(fā)現(xiàn)足夠的錯(cuò)誤，并且很難優(yōu)先解決這些錯(cuò)誤，這一發(fā)現(xiàn)與去年的調(diào)查一致。

超過42％的人認(rèn)為安全測(cè)試仍然在軟件開發(fā)生命周期中介入的太晚了，36％的人說很難理解、處理和修復(fù)任何發(fā)現(xiàn)的漏洞，還有31％的人認(rèn)為優(yōu)先考慮漏洞修復(fù)是艱巨的任務(wù)。

GitLab安全副總裁Johnathan Hunt指出：

盡管整個(gè)行業(yè)都在向左移動(dòng)，但我們的研究表明，團(tuán)隊(duì)日常職責(zé)的變化需要更加明確，因?yàn)檫@會(huì)影響整個(gè)組織的安全水平。

安全團(tuán)隊(duì)需要為采用新工具和部署實(shí)施具體流程，以提高開發(fā)效率和安全能力。

新技術(shù)有助于加快發(fā)布速度，在其他領(lǐng)域造成瓶頸

對(duì)于開發(fā)團(tuán)隊(duì)而言，更快的軟件發(fā)布至關(guān)重要。近83％的開發(fā)人員表示，在采用DevOps之后能夠更快地發(fā)布代碼。

持續(xù)集成和持續(xù)交付（CI/CD）還被證明有助于減少構(gòu)建和部署應(yīng)用程序的時(shí)間。38％的人表示其DevOps實(shí)施包括CI/CD。另外有29％的人表示其DevOps實(shí)施包括測(cè)試自動(dòng)化，有16％的人采用了DevSecOps，近9％的人使用多云。

盡管如此，據(jù)47％的受訪者稱，測(cè)試已連續(xù)第二年成為最主要的瓶頸。自動(dòng)化測(cè)試正在提升，但是只有12％的人聲稱具有完整的測(cè)試自動(dòng)化。而且，盡管60％的公司報(bào)告每天進(jìn)行多次部署，每天一次或每幾天進(jìn)行一次部署，但超過42％的公司表示測(cè)試在開發(fā)生命周期中介入的太遲了。

安全業(yè)界在DevOps實(shí)踐方面已經(jīng)取得了長(zhǎng)足的進(jìn)步，但在簡(jiǎn)化安全，開發(fā)人員和運(yùn)營(yíng)團(tuán)隊(duì)之間的協(xié)作方面，還有更多工作要做。