Koncepcja programowania cyklu rozwoju oprogramowania DevSecOps.
Zdjęcie: Murrstock/Adobe Stock

Nowe badanie DevSecOps przeprowadzone przez GitLab sugeruje, że 65% programistów wykorzystuje sztuczną inteligencję i uczenie maszynowe do testowania kodu lub planuje to zrobić w ciągu najbliższych trzech lat, co sygnalizuje potencjalnie znaczącą zmianę w kierunku automatyzacji procesów tworzenia oprogramowania.

W siódmym dorocznym raporcie GitLab Global DevSecOps przeprowadzono ankietę wśród ponad 5000 liderów IT, CISO i programistów z branży usług finansowych, motoryzacyjnej, opieki zdrowotnej, telekomunikacyjnej i technologicznej. Celem badania, które zostało przeprowadzone przez agencję badań rynku Savanta w marcu 2023 r., było zrozumienie sukcesów, wyzwań i priorytetów wdrożenia DevSecOps.

Skocz do:

Rosnąca zależność od sztucznej inteligencji i uczenia maszynowego

Wśród kluczowych ustaleń w raporcie GitLab był fakt, że adopcja sztucznej inteligencji/ML w procesach tworzenia oprogramowania i bezpieczeństwa wciąż przyspiesza, przy czym 62% programistów używa sztucznej inteligencji/uczenia maszynowego do sprawdzania kodu — wzrost z 51% w 2022 r. — podczas gdy 53% używa botów w procesie testowania, w porównaniu z 39% w zeszłym roku.

Raport GitLab wykazał, że organizacje zaczęły wcześniej włączać zabezpieczenia do cyklu życia oprogramowania, a sztuczna inteligencja/ML odgrywała kluczową rolę w identyfikowaniu luk w kodzie. Badanie wykazało, że programiści, którzy korzystali z platformy DevSecOps, częściej wdrażali automatyzację i sztuczną inteligencję/uczenie maszynowe do testowania niż ci, którzy tego nie robili.

Wyzwania dla programistów i specjalistów ds. bezpieczeństwa

Złożoność łańcucha narzędzi

Deweloperzy i specjaliści ds. bezpieczeństwa wciąż stoją przed wyzwaniami związanymi z żonglowaniem różnymi narzędziami i aplikacjami, z których mają korzystać w ramach swojej roli. Zarządzanie łańcuchem narzędzi jest problemem w szczególności dla specjalistów ds. bezpieczeństwa.

GitLab odkrył, że 57% respondentów zajmujących się bezpieczeństwem zgłosiło używanie sześciu lub więcej narzędzi, w porównaniu z 48% programistów i 50% specjalistów ds. operacyjnych.

Nie tylko to, ale łańcuchy narzędzi specjalistów ds. bezpieczeństwa wydają się rozszerzać. W raporcie GitLab Global DevSecOps z 2022 r. 54% respondentów zajmujących się bezpieczeństwem stwierdziło, że używało od dwóch do pięciu narzędzi w swoim przepływie pracy, podczas gdy 35% stwierdziło, że używa od sześciu do dziesięciu; w 2023 r. liczby te wynosiły odpowiednio 42% i 43%.

Konsekwentne monitorowanie bezpieczeństwa

Zgodnie z przewidywaniami, mnogość narzędzi, z których mogą korzystać specjaliści ds. bezpieczeństwa, sprawia, że utrzymanie spójnego monitorowania jest trudniejsze, a 26% specjalistów ds. Podobnie 26% respondentów zajmujących się bezpieczeństwem zgłosiło trudności w wyciąganiu spójnych wniosków ze wszystkich zintegrowanych narzędzi, a dwie trzecie (66%) stwierdziło, że w rezultacie chce skonsolidować swoje łańcuchy narzędzi.

Badanie wykazało rosnącą świadomość bezpieczeństwa jako wspólnej odpowiedzialności zespołów DevSecOps, przy czym 71% ankietowanych specjalistów ds.

Trend „przesunięcia w lewo”

W raporcie zwrócono uwagę na zmianę w kierunku współpracy międzyfunkcyjnej, przy czym 38% specjalistów ds.

Według GitLab trend ten odzwierciedla dążenie branży do włączania zabezpieczeń na wcześniejszym etapie cyklu życia oprogramowania, znane jako „przesunięcie w lewo”. Takie podejście umożliwia zespołom programistycznym, bezpieczeństwa i operacyjnym wydajniejszą współpracę, zamiast działać w silosach.

Ponieważ 85% respondentów zajmujących się bezpieczeństwem zgłosiło takie same lub niższe budżety niż w 2022 r., zespoły technologiczne muszą wydawać więcej pieniędzy niż kiedykolwiek.

ZOBACZ: Dlaczego przesunięcie w lewo jest priorytetem dla DevSecOps

W komunikacie prasowym na temat raportu David DeSanto, dyrektor ds. produktu w GitLab, powiedział, że narzędzia i metodologie DevSecOps mogą umożliwić organizacjom osiągnięcie lepszego bezpieczeństwa i wydajności poprzez konsolidację łańcuchów narzędzi i redukcję kosztów, ostatecznie uwalniając zespoły programistów, aby mogły skupić się na obowiązkach o znaczeniu krytycznym. i nowatorskich rozwiązań.

„Organizacje na całym świecie szukają sposobów, aby robić więcej za mniej. Oznacza to, że wydajność i bezpieczeństwo nie mogą się wzajemnie wykluczać przy identyfikowaniu możliwości zachowania konkurencyjności” — powiedział DeSanto.

„Badania GitLab pokazują, że narzędzia i metodologie DevSecOps pozwalają kierownictwu lepiej zabezpieczać i konsolidować ich odmienne, pofragmentowane łańcuchy narzędzi oraz zmniejszać wydatki, jednocześnie zwalniając zespoły programistyczne, aby mogły spędzać czas na obowiązkach o znaczeniu krytycznym i innowacyjnych rozwiązaniach”.

ZOBACZ: Zespoły ds. bezpieczeństwa nie są jedynymi, które mają trudności z robieniem więcej za mniej .

Najważniejsze umiejętności specjalistów ds. bezpieczeństwa

Ponieważ sztuczna inteligencja i uczenie maszynowe stają się coraz bardziej integralną częścią cyklu życia oprogramowania, organizacje będą musiały zapewnić zespołom ds. bezpieczeństwa wyposażenie odpowiednich umiejętności i narzędzi, aby w pełni wykorzystać nowe technologie. Jednak GitLab odkrył, że sztuczna inteligencja i uczenie maszynowe konkurują z innymi obszarami o dużym wpływie, ponieważ specjaliści ds. bezpieczeństwa mieszają swoje cele zawodowe.

ZOBACZ: Poznaj różne kariery i ścieżki kariery DevOps

W 2022 r. specjaliści ds. bezpieczeństwa uznali sztuczną inteligencję/uczenie maszynowe za najważniejszą umiejętność umożliwiającą im rozwój kariery — bardziej niż zarówno programiści, jak i specjaliści ds. operacyjnych.

W tym roku, podczas gdy prawie jedna czwarta (23%) specjalistów ds. bezpieczeństwa wybrała sztuczną inteligencję/uczenie maszynowe jako najważniejsze umiejętności, przywiązywali oni większą wagę do umiejętności miękkich (31%), wiedzy merytorycznej (30%) oraz wskaźników i spostrzeżeń ilościowych (27%) — sugerowanie, że profesjonaliści uznają potrzebę wszechstronnego zestawu umiejętności, aby sprostać współczesnym wyzwaniom bezpieczeństwa.

Martwi się, jak AI/ML wpłynie na miejsca pracy

Istnieje pewien opór przed przyspieszeniem wdrażania sztucznej inteligencji i uczenia maszynowego w cyklu tworzenia oprogramowania, w którym liderzy będą musieli ostrożnie się poruszać.

Podobnie jak w innych branżach, badanie przeprowadzone przez GitLab wykazało, że specjaliści ds. technologii martwią się tym, co sztuczna inteligencja/uczenie maszynowe oznacza dla ich pracy: dwie trzecie (67%) respondentów ds. 28% stwierdziło, że są „bardzo” lub „bardzo” zaniepokojeni.

Spośród respondentów, którzy wyrazili zaniepokojenie, 25% stwierdziło, że martwi się, że AI/ML może wprowadzić błędy, które utrudnią im pracę. Tymczasem 29% obawiało się, że AI/ML zmniejszy liczbę dostępnych miejsc pracy, a 23% wyraziło obawę, że AI/ML sprawi, że ich umiejętności staną się przestarzałe.

Jak liderzy mogą wzmocnić DevSecOps

Zainwestuj w szkolenia i narzędzia AI/ML

Organizacje powinny priorytetowo potraktować wyposażenie swoich zespołów ds. bezpieczeństwa w niezbędne umiejętności i narzędzia, aby skutecznie wykorzystać sztuczną inteligencję i uczenie maszynowe w przepływach pracy związanych z tworzeniem oprogramowania i bezpieczeństwem, maksymalizując korzyści płynące z automatyzacji i poprawiając wydajność.

Promuj współpracę międzyfunkcyjną

Zachęcaj do zmiany podejścia w lewo, wspierając współpracę między zespołami programistycznymi, bezpieczeństwa i operacyjnymi, prowadząc do usprawnionego i wydajnego cyklu życia oprogramowania, który obejmuje bezpieczeństwo od podstaw.

Konsoliduj i usprawniaj łańcuchy narzędzi

Specjaliści ds. bezpieczeństwa używają wielu narzędzi, co prowadzi do dodatkowej złożoności. Skoncentruj się na konsolidacji i uproszczeniu łańcuchów narzędzi w celu poprawy wydajności, zmniejszenia tarć i kosztów oraz umożliwienia zespołom ds. bezpieczeństwa skupienia się na ich kluczowych obowiązkach.

Biuletyn dla programistów

Od najgorętszych języków programowania po komentarze na temat systemu operacyjnego Linux — poznaj najważniejsze informacje i wskazówki dla programistów i oprogramowania open source.

Dostarczane we wtorki i czwartki