2021 年有超过 220 亿条记录因数据泄露而被曝光,一些大型公司因此受到损害,安全问题仍是企业的头等大事。鉴于此,谷歌的 DORA(DevOps 研究和评估)团队发布了一份 2022 Accelerate State of DevOps Report,重点关注安全性。此次报告基于对 1350 名专业人员的调查结果,其中 68% 从事开发、工程或 IT 运营和基础设施工作,涵盖一些大型(10,000 多名员工)和小型(20-99 名员工)组织。
为了分析安全与 DevOps 之间的关系,报告探讨了软件供应链安全这一主题。研究人员称,在没有 CI/CD 的情况下,采用 SLSA(软件工件供应链)框架和SSDF(安全软件开发框架)等最佳实践是具有挑战性的。“如果没有这个关键的基础架构,组织就很难确保针对他们创建的软件工件运行一组一致的 scanners、linter 和 tests”。
数据显示,在 SLSA 和 NIST SSDF 推广的所有实践中,使用应用程序级安全扫描作为生产发布的 CI/CD 系统的一部分是最常见的做法,63% 的受访者表示这是“非常”或“完全”成立的。其次是 History preserved 和 Build script,Metadata signed 和 two-person review 则有最大的发展空间。
另一个关键发现是,软件安全与协作文化相关联。“我们发现,一个组织的应用程序开发安全实践的最大预测因素是文化,而不是技术:注重绩效的高信任、低责备的文化比注重权力或规则的低信任、高责备的文化对新兴安全实践的采用高于平均水平的可能性高 1.6 倍。”
报告还关注了软件交付和运营绩效。其使用四个关键指标对 DevOps 团队进行了分类:部署频率、变更前置时间、平均恢复时间和变更失败率,以及他们去年引入的第五个指标,即可靠性。 从这五个指标来看,最高分是每天交付多次部署,将变更从代码部署到生产中的时间不超过一周,一天内恢复服务,变更失败率不超过 15%。
报告称,总体而言今年的表现有所下降。与去年的显着区别在于,今年没有任何突出的优异表现。表现不佳的企业也有所增加,从 2021 年的 7% 增加到今年的 19%。他们推测,大流行及其后遗症阻碍了创新和知识共享,从而导致高表现者和表现不佳者的数量增加;但该结论并没有实际的数据支持。
此外,云计算的使用量持续增长。公共云的使用率为 76%,高于 2021 年的 56%。只有 10.5% 的人表示根本没有使用云(包括私有云)。“使用云计算的受访者在组织绩效目标上超额完成的可能性增加了14%”。超过 50% 的受访者使用多个云供应商,而这一群体"表现出了 1.4 倍的组织绩效"。
更多详情可查看完整报告。