谷歌 2022 年 DevOps 状态报告:对于软件安全,团队文化比技术更重要


2021 年有超过 220 亿条记录因数据泄露而被曝光,一些大型公司因此受到损害,安全问题仍是企业的头等大事。鉴于此,谷歌的 DORA(DevOps 研究和评估)团队发布了一份 2022 Accelerate State of DevOps Report,重点关注安全性。此次报告基于对 1350 名专业人员的调查结果,其中 68% 从事开发、工程或 IT 运营和基础设施工作,涵盖一些大型(10,000 多名员工)和小型(20-99 名员工)组织。

为了分析安全与 DevOps 之间的关系,报告探讨了软件供应链安全这一主题。研究人员称,在没有 CI/CD 的情况下,采用 SLSA(软件工件供应链)框架和SSDF(安全软件开发框架)等最佳实践是具有挑战性的。“如果没有这个关键的基础架构,组织就很难确保针对他们创建的软件工件运行一组一致的 scanners、linter 和 tests”。

数据显示,在 SLSA 和 NIST SSDF 推广的所有实践中,使用应用程序级安全扫描作为生产发布的 CI/CD 系统的一部分是最常见的做法,63% 的受访者表示这是“非常”或“完全”成立的。其次是 History preserved 和 Build script,Metadata signed 和 two-person review 则有最大的发展空间。

另一个关键发现是,软件安全与协作文化相关联。“我们发现,一个组织的应用程序开发安全实践的最大预测因素是文化,而不是技术:注重绩效的高信任、低责备的文化比注重权力或规则的低信任、高责备的文化对新兴安全实践的采用高于平均水平的可能性高 1.6 倍。”

报告还关注了软件交付和运营绩效。其使用四个关键指标对 DevOps 团队进行了分类:部署频率、变更前置时间、平均恢复时间和变更失败率,以及他们去年引入的第五个指标,即可靠性。 从这五个指标来看,最高分是每天交付多次部署,将变更从代码部署到生产中的时间不超过一周,一天内恢复服务,变更失败率不超过 15%。

报告称,总体而言今年的表现有所下降。与去年的显着区别在于,今年没有任何突出的优异表现。表现不佳的企业也有所增加,从 2021 年的 7% 增加到今年的 19%。他们推测,大流行及其后遗症阻碍了创新和知识共享,从而导致高表现者和表现不佳者的数量增加;但该结论并没有实际的数据支持。

此外,云计算的使用量持续增长。公共云的使用率为 76%,高于 2021 年的 56%。只有 10.5% 的人表示根本没有使用云(包括私有云)。“使用云计算的受访者在组织绩效目标上超额完成的可能性增加了14%”。超过 50% 的受访者使用多个云供应商,而这一群体"表现出了 1.4 倍的组织绩效"。

更多详情可查看完整报告。


相關推薦

2022-08-12

个工作流的数据。“利用这些数据,我们可以确定导致 DevOps 成功的习惯和做法,以便我们可以与社区分享这些经验和基准”。 同时,这项研究还揭示了团队工作时所采用的一些工具和技术的趋势。CircleCI 方面称,他们将在该

2023-02-08

件的使用、采用和挑战。 报告指出,从框架和数据库到 DevOps 工具和 AI/ML/DL 技术等方面,开源软件无处不在。有 80% 的组织在过去一年中增加了对开源软件的使用,开源正在推动全球领先公司各个部门的创新。 但开源软件仍

2022-07-02

、信息安全是国家底线 极狐公司旗下产品GitLab专业版等DevOps产品在我国信创产业中属于基础软件。基础软件是信息系统最核心的部件,是保障信息系统安全的重要阵地和最后一道防线,自主可控关系到国家安全和利益,也是产

2023-03-01

时任总统特朗普将华为列入黑名单,限制华为使用 Android 谷歌服务和应用商店。路透社认为,此举削弱了华为的海外智能手机业务,并向中国科技行业发出信号,表明美国政府愿意并能够将开源软件武器化。同样在 2019 年,GitHub

2022-09-16

如约重聚,主旨演讲干货新鲜出炉,一起回顾一下! 谷歌一直积极帮助开发者灵活运用前沿科技,探索创新的方式以解决现实问题,以科技之力应对变化,帮助他人,如 Google 大中华区总裁陈俊廷所强调:“谷歌一直在坚

2022-06-28

DevOps 一直是开发者的重点关注领域,外媒 openlogic 联合 OSI 统计了各行各业 2600 多名开源用户的数据,得出了一份 2022 年开源状态报告,根据统计的数据总结了 2022 年最受欢迎的 5 大开源自动化和编排技术,以及开发团队选择这

2023-07-26

IBM Security 最新发布的一份 2023 年数据泄露成本报告显示,2023 年全球数据泄露的平均成本达到 445 万美元,创下该报告的历史新高,相较过去3年增长了15%。其中检测和升级成本在同一时期跃升了 42%,是数据泄露成本中最高的

2023-01-30

宇宙逐步成为全球科技界的热门概念,科技巨头如 Meta、谷歌、苹果、华为、腾讯、OPPO 等均已在积极布局相关产业,其中一个关键技术就是 3D 引擎,无论是智慧城市、构建虚拟空间、工业设计还是高度真实的沉浸式用户体验都

2022-10-16

宇宙逐步成为全球科技界的热门概念,科技巨头如 Meta、谷歌、苹果、华为、腾讯、OPPO 等均已在积极布局相关产业,其中一个关键技术就是 3D 引擎,无论是智慧城市、构建虚拟空间、工业设计还是高度真实的沉浸式用户体验都

2023-01-18

。与此同时,招聘人员最想招聘的三大技能是网络开发、DevOps 和数据库软件开发。这些趋势与往年基本相同。AI/机器学习在开发者中的受欢迎程度从 2022 年的 30% 略微下降到 2023 年的 24%。 2023 年招聘人员最需要的角色是:

2022-04-12

保护软件。 根据介绍,Puppet 诞生于 2005 年,是第一个 DevOps 程序。与大多数 DevOps 程序一样,Puppet 可以自动编写手动脚本。该程序有开源和开放核心的商业版本;有自己的同名语言,Puppet。这种语言是用 Ruby 编写的,你还可

2024-09-30

划更为全面的安全测试,但时间仅为 9 天。高管们希望在谷歌年度开发者大会之前推出 4o,以抢占更多关注,盖过这个更大竞争对手的风头。 安全团队每天工作 20 小时,没有时间核查他们的工作。基于不完整数据的初步结果显

2023-07-19

营利组织 OpenUK 最新发布的“State of Open: The UK in 2023”报告指出,开源软件的生产能力占 2022 年英国科技行业总增加值(GVA)的四分之一以上(27%)。 OpenUK 认为,这可能是世界上第一份开源软件的 GVA 贡献分析;该报告揭示

2022-08-17

设置隐私设置;就应用程序而言,今年的大部分请求都与谷歌安全准则有关 (22%)。调查结果基于 2022 年 1 月至 2022 年 7 月期间访问该网站的相关匿名数据。 现如今,大众对数字隐私的担忧已愈发普遍。Calyx Institute 在 2021 年进行