Die 5. DevSecOps-Umfrage von Gitlab 2020: ein Katalysator für die Einführung von DevOps-Tools

Redakteur: Ulrike Ostler

Die Rollen in Software-Entwicklungsteams haben sich in DevOps-Teams erneut verändert. Das ist eine der Ergebnisse der fünften, weltweiten Umfrage von Gitlab mit fast 4.300 Teilnehmern. Außerdem haben DevOps-Teams schneller denn je, neue Techniken und Tools adaptiert. Dies ermöglicht ihnen, größere Schritte in Richtung DevSecOps zu unternehmen, die Release-Geschwindigkeit zu erhöhen sowie die Automatisierung voranzutreiben.

Firma zum Thema

DevOps bedeutet zwar eine Verkürzung der Release-Zyklen aber für die DevOps-Teams vor allem eine Verschiebung ihrer Aufgaben in Richtung Security.
DevOps bedeutet zwar eine Verkürzung der Release-Zyklen aber für die DevOps-Teams vor allem eine Verschiebung ihrer Aufgaben in Richtung Security.
(Bild: Bronisław Dróżka auf Pixabay)

Basierend auf den Umfrage-Ergebnissen von 2021 forcierte die COVID-19-Pandemie die breite Einführung von Remote-Arbeit. Dies wiederum veranlasste Teams dazu, sich auf die Einführung modernster DevOps-Technologien wie Kubernetes, Maschinellem Lernen / Künstliche Intelligenz (ML/KI) und Cloud Computing zu konzentrieren.

Nach Angaben der Untersuchung können rund 60 Prozent der Entwickler ihren Code doppelt so schnell veröffentlichen, wenn sie zur Methodiken und der Organisation von DevOps beherzigen. Das ermögliche ihnen, auch größere Schritte in Richtung DevSecOps zu unternehmen, die Release-Geschwindigkeit zu erhöhen sowie die Automatisierung voranzutreiben.

Die Adaption von DevOps-Tools hat sich beschleunigt, die Akzeptanz von KI und ML wähst, Sicherheit beziehungsweise Sicherheitstests rücken wieter in den Fokus.
Die Adaption von DevOps-Tools hat sich beschleunigt, die Akzeptanz von KI und ML wähst, Sicherheit beziehungsweise Sicherheitstests rücken wieter in den Fokus.
(Bild: Gitlab)

Eric Johnson, CTO bei Gitlab, dazu: „Die diesjährige globale DevSecOps-Umfrage zeigt, dass 2020 ein Katalysator für den Reifeprozess von DevOps war.“ Auf der ganzen Welt arbeiteten Teams daran, die Entwicklungszyklen zu straffen und noch schnellere Release-Zeiten zu erzielen. Zeitgleich hätten sie sich auf remotes Arbeiten eingestellt und Prioritäten verschoben, um den hohen Anforderungen des letzten Jahres gerecht zu werden. „Wir glauben, dass wir Verbesserungen beim Testen sehen werden, wenn nun mehr Teams Tools einsetzen, um die einzelnen Teile von DevSecOps zu automatisieren - speziell jene Teile, die dazu geführt hatten, dass sich die Zyklen kontinuierlich verlangsamen“, so Johnson.

DevOps wird automatisiert und Ops-Teams setzen neue Prioritäten

Dennoch: Bevor echte DevSecOps-Workflows erreicht werden, gibt es noch immer einige Hürden zu überwinden, so die Studie. Wie bereits im vergangenen Jahr ergab die Umfrage für 2021, dass Softwaretests und Code-Reviews nach wie vor Knackpunkte sind. Allerdings ist die Art und Weise, wie diese Herausforderungen gehandhabt werden, diesmal auffallend anders, erläutert der Studienbericht:

„Erstaunlicherweise gaben 75 Prozent der Befragten an, dass ihre DevOps-Teams ML/KI für das Testen und den Code-Review verwenden oder dies planen“, heißt es. Daraus ergebe sich ein Anstieg von 41 Prozent gegenüber der Umfrage von 2020; denn ein Jahr zuvor hatten nur 8 Prozent der Teams von einer vollständigen Automatisierung gesprochen.

Auch bei den Operations-Teams haben sich die Prioritäten verschoben. 56 Prozent der Operations-Spezialisten geben an, dass die Verwaltung von Cloud-Diensten jetzt ihre oberste Priorität ist. Laut Studie spiegelt das „zweifellos die durch die Pandemie ausgelöste verstärkte Migration in die Cloud wider“. Darüber hinaus geben Operations-Teams an, dass sie mehr Zeit für Compliance aufwenden als im Jahr 2020. Ohne die Einführung neuer Technologien zur Kürzung der Entwicklungszyklen wäre es für die Operations-Teams wahrscheinlich schwieriger gewesen, die neuen Anforderungen zu erfüllen, interpretiert der Gitlabs-Bericht.

Releases schneller denn je, das Testen bleibt schwierig

Erfolg in der Softwarebranche hängt von der Geschwindigkeit der Releases ab; mit DevSecOps kann die erforderliche Schnelligkeit realisiert werden. In diesem Jahr geben 84 Prozent der Entwickler an, dass sie Code schneller als je zuvor freigeben. Dieser Anstieg der Release-Geschwindigkeit ist auf die verstärkte Integration von Tools wie Source Code Management, Continuous Integration und Continuous Delivery (CI/CD) zurückzuführen.

Fast 12 Prozent der Befragten bestätigen, dass der zusätzliche Einsatz einer DevOps-Plattform den Prozess beschleunigt hat. Insgesamt sagen 57 Prozent der Befragten, dass der Code doppelt so schnell freigegeben wird - ein deutlicher Anstieg gegenüber den 35 Prozent im vergangenen Jahr. 19 Prozent merkten an, dass der Code zehnmal schneller freigegeben wird.

Die Fehlerbehebung nachzuverfolgen und zu priorisieren bleibt für DevOps-Teams eine herausfordernde Aufgabe.
Die Fehlerbehebung nachzuverfolgen und zu priorisieren bleibt für DevOps-Teams eine herausfordernde Aufgabe.
(Bild: Gitlab)

Sicherheitstests bleiben indes ein Stachel im Fleisch. Zum einen erfolgen sie für über 42 Prozent zu spät im Prozess. Zum anderen gibt fast derselbe Prozentsatz an, dass es schwierig ist, Sicherheitslücken zu erfassen, zu verarbeiten und zu beheben. Für nahezu 37 Prozent stellt die Verfolgung des Status in der Fehlerbehebungen eine Herausforderung dar Rund 33 Prozent halten bereits die Priorisierung in der Fehlerbehebung für schwierig.

Wie im Jahr 2020 deuten diese Ergebnisse auf einen reaktiven Ansatz für die Sicherheit im Entwicklungsprozess hin, folgert die Studie. Sie zeigten auch, wie wichtig es sei, DevSecOps in die Entwicklungszyklen zu integrieren, da Probleme, die beim Testen auftreten und zu Engpässen führen, früher in der Entwicklung erkannt und behoben werden könnten.

Wer ist für die Sicherheit zuständig?

In Fortsetzung des Trends, den bereits der DevSecOps-Report 2020 zeigte, verschieben sich die Rollen der Entwickler weiter: Sie übernehmen mehr Verantwortung für die traditionell operativen- und sicherheitsrelevanten Rollen. Im Jahr 2021 gaben mehr als 70 Prozent der Sicherheitsexperten an, dass ihre Teams Sicherheitsaspekte früher in die Entwicklung einbeziehen oder „nach links verschieben“ (siehe: Abbildung) – ein Anstieg gegenüber 65 Prozent im Vorjahr.

Die Umfragen zeigen, dass dieser breite Anstieg der Verschiebung teilweise auf eine Zunahme von Entwicklern zurückzuführen ist, die statische und dynamische Tests zur Anwendungssicherheit durchführen. 53 Prozent der Entwickler geben an, SAST-Scans (Static Application Security Testing) durchzuführen, ein Anstieg von 13 Prozent gegenüber dem Vorjahr, und 44 Prozent der Entwickler führen DAST-Scans (Dynamic Application Security Testing) durch, ein Anstieg von 17 Prozent gegenüber dem Vorjahr.

Fast 45 Prozent der Umfrageteilnehmer geben an, dass sie den Code wöchentlich überprüfen, und 22 Prozent tun dies zweiwöchentlich (im Vergleich zu 14 Prozent im vorherigen Jahr). Allerdings reichen die Angaben jenseits dieser Zyklen über die Code-Reviews von mehrmals täglich bis gar nicht. Noch schlechter sieht es bei Toolchain-Integration und -Wartung aus: 41 Prozent verbringen weniger als 10 Przent ihrer Zeit damit.
Fast 45 Prozent der Umfrageteilnehmer geben an, dass sie den Code wöchentlich überprüfen, und 22 Prozent tun dies zweiwöchentlich (im Vergleich zu 14 Prozent im vorherigen Jahr). Allerdings reichen die Angaben jenseits dieser Zyklen über die Code-Reviews von mehrmals täglich bis gar nicht. Noch schlechter sieht es bei Toolchain-Integration und -Wartung aus: 41 Prozent verbringen weniger als 10 Przent ihrer Zeit damit.
(Bild: Gitlab)

Insgesamt deutet dies auf einen großen Schritt in Richtung Security in DevSecOps hin. „Beispiellose 72 Prozent der Sicherheitsexperten“ geben an, dass die Sicherheitsbemühungen ihrer Unternehmen entweder „gut“ oder „stark“ sind. Im Vorjahr waren es 59 Prozent. Der größte Anstieg ist in der Kategorie „stark“ zu verzeichnen: 2020 bewerteten nur 19,95 Prozent der Befragten ihre Sicherheitslage so, im Jahr 2021 sind es fast 33 Prozent.

Trotz dieses eindeutigen Trends kämpfen Unternehmen weiterhin damit zu klären, wer für die Sicherheit verantwortlich ist. Bei fast 31 Prozent der Befragten liegt dies vollständig in der Verantwortung von Sicherheits-Teams, aber fast 28 Prozent sagen, dass alle Beteiligten gemeinsam für die Sicherheit verantwortlich sein sollten. Diese Ergebnisse fallen ähnlich wie 2020 aus und unterstreichen den Klärungsbedarf zu diesem Thema.

Johnathan Hunt, Vice President Security bei Gitlab, erläutert: „Für die Zukunft hoffen wir, dass Sicherheits-Teams mehr Möglichkeiten finden, klare Erwartungen an die anderen Mitglieder ihrer Organisation zu stellen, und dass sie weiterhin innovative Technologien für Scanning und Code-Reviews einsetzen, um die Geschwindigkeit und Qualität der Entwicklungszyklen zu verbessern."

Artikelfiles und Artikellinks

(ID:47383725)