GitLab, aanbieder van een applicatie die ondersteuning biedt voor de complete DevOps-cyclus, heeft de resultaten bekend gemaakt van zijn vierde jaarlijkse DevSecOps-onderzoek. Hieruit blijkt hoe de rollen binnen software development teams zijn veranderd nu steeds meer bedrijven DevOps omarmen. Uit onderzoek onder 3.650 respondenten in 21 landen blijkt dat het toenemende gebruik van DevOps en de implementatie van nieuwe tools voor ingrijpende wijzigingen heeft gezorgd van de rollen, organisatiestructuur en toolkeuzes van teams van developers, operations en security professionals.
“Uit het DevSecOps-onderzoek van dit jaar blijkt dat er meer succesvolle DevOps-professionals zijn dan ooit tevoren. Zij zeggen dat de afgelopen tijd de releasetijden drastisch korter zijn, dat continuous integration/deployment (CI/CD) toeneemt en dat er vooruitgang is met het eerder testen op security in het development proces”, zegt Sid Sijbrandij, de CEO en medeoprichter van GitLab. “Toch valt er nog steeds een hoop werk te verrichten, zeker voor wat betreft testen en beveiliging. Wij kijken ernaar uit dat de samenwerking en de testprocessen binnen teams verbeterd worden, doordat de diverse teams zich aanpassen aan het gebruik van nieuwe technologieën en functies meer in elkaar overlopen.”
De dagelijkse praktijk van teams van developers, operations en security teams verandert. Dat geldt onder meer voor hun rollen en verantwoordelijkheden en de technologische keuzes die bijdragen aan verbeterde DevOps-praktijken en snellere release-cycli. DevOps kan, wanneer juist uitgevoerd, voor verbeteringen van bedrijfsresultaten zorgen maar organisaties moeten nog obstakels overwinnen om voor werkelijke DevSecOps te zorgen.
De rol van de developer verandert
Elk bedrijf is tegenwoordig een softwarebedrijf. Om voor goede bedrijfsresultaten te zorgen is het belangrijker dan ooit dat teams goed begrip hebben van de veranderende rol van developer en de invloed daarvan op de verantwoordelijkheden van de security, operations en test teams. GitLab constateert dat de grens tussen developers en operations begint te vervagen. 35% van de developers zegt dat ze de infrastructuur waarop hun apps draaien zelf definiëren en/of inrichten. 14% bewaakt en beheert die infrastructuur, een taak die traditioneel was weggelegd voor het operations team. Meer dan 18% van de developers implementeert code voor het bewaken van de productieomgeving en 12% fungeert als aanspreekpunt voor incidenten.
Het gebruik van DevOps is gestegen. Een kwart van de bedrijven heeft er inmiddels drie tot vijf jaar praktijkervaring mee. 37% is goed op weg met DevOps en beschikt over een tot drie jaar ervaring. Veel bedrijven die hier gebruik van maken plukken de voordelen van continuous deployment: bijna 60% implementeert code meerdere keren per dag, één keer per dag of eens in de zoveel dagen. Dit percentage lag vorig jaar nog op 45%. Nu steeds meer teams vertrouwd beginnen te raken met DevOps, veranderen de rollen binnen development teams en overlappen verantwoordelijkheden elkaar vaker. 70% van de operations professionals zegt dat developers in staat zijn om hun eigen omgeving in te richten. Dit wijst op een verandering in verantwoordelijkheden als gevolg van de komst van nieuwe processen en veranderende technologieën. =
Onduidelijkheid binnen security-teams over verantwoordelijkheden
Er is nog steeds sprake van een kloof tussen de teams van developers en security, waarbij er vooral onzekerheid is over wie verantwoordelijk is voor beveiligingsactiviteiten. Ruim 25% van de developers zegt zich als enige verantwoordelijk te voelen voor security en datzelfde geldt voor 23% van de testers en 21% van de operations professionals.
Voor security teams is er zelfs nog meer duidelijkheid nodig. 33% van de ondervraagde security specialisten zegt verantwoordelijk te zijn voor de eigen beveiliging en bijna evenveel respondenten (29%) vindt dat iedereen voor de beveiliging verantwoordelijk zou moeten zijn. Security teams blijven melden dat developers niet genoeg bugs vinden in een vroegtijdig ontwikkelingsstadium en dat ze niet genoeg vaart maken met het prioriteren en verhelpen van deze bugs. Dit komt overeen met de onderzoeksresultaten van vorig jaar. Meer dan 42% zegt dat het testen nog altijd te laat in de levenscyclus plaatsvindt terwijl 36% zegt het lastig te vinden geïdentificeerde kwetsbaarheden te begrijpen, te verwerken en te fixen. 31% vond het stellen van prioriteiten tijdens het verhelpen van kwetsbaarheden een lastig proces.
“Hoewel er binnen de hele branche sprake is van een verschuiving naar links (eerder op security testen in het development proces), blijkt uit ons onderzoek dat er meer duidelijkheid nodig is over de veranderende dagelijkse verantwoordelijkheden van teams, omdat dit van invloed is op de security vaardigheden van de hele organisatie”, zegt Johnathan Hunt, Vice President Security bij GitLab. “Security teams zouden concrete processen moeten implementeren voor het gebruik van nieuwe tools en implementaties. Dit is nodig om de efficiëntie van het development proces en beveiligings-capaciteiten op te voeren.”
Nieuwe technologieën voor snellere releases zorgen elders voor bottlenecks
Snelheid en snellere software releases zijn van cruciaal belang voor development teams. GitLab constateerde dat bijna 83% van de developers na de overstap op DevOps in staat is om sneller code af te leveren. In de praktijk blijkt daarnaast dat CI/CD de tijd die nodig is voor het ontwikkelen en in productie nemen van applicaties verkort: 38% zegt dat hun DevOps-implementaties CI/CD omvatten. Nog eens 29% zegt voor hun DevOps-implementaties gebruik te maken van geautomatiseerde testprocessen. 16% heeft DevSecOps omarmd en bijna 9% werkt in een multi-cloudomgeving.
Toch blijkt het testproces voor het tweede jaar op rij de belangrijkste bottleneck te zijn. Dat zeg 47% van de respondenten. Geautomatiseerd testen is in opkomst, maar slechts 12% van alle respondenten zegt het testproces volledig te hebben geautomatiseerd. En hoewel 60% aangeeft implementaties meerdere keren per dag, eenmaal per dag of eens in de zoveel dagen uit te voeren, vindt 42% dat het testen te laat in de levenscyclus van ontwikkeling plaatsvindt. Hoewel er vooruitgang is geboekt met de implementatie van DevOps-praktijken, valt er het nodige werk te verrichten wat betreft het stroomlijnen van de samenwerking tussen de diverse teams.