Vierte jährlich stattfindende globale DevSecOps-Umfrage

GitLab hat die Ergebnisse ihrer vierten, jährlich stattfindenden DevSecOps-Umfrage veröffentlicht. Sie zeigt, wie sich die Rollen in Software-Entwicklungsteams verändert haben, seit immer mehr Teams DevOps nutzen. Die Umfrage ergab, dass der zunehmende Einsatz von DevOps und die Implementierung neuer Tools zu weitreichenden Veränderungen der Tätigkeitsbereiche, der Auswahl an Tools sowie der Organigramme innerhalb der Arbeitsteams von Entwicklern, Sicherheitsexperten und Operations-Teams geführt haben. Die Umfrage von GitLab zeigt auch, wie die meisten Unternehmen durch DevOps ihren Code schneller veröffentlichen können.

Zudem verdeutlichte die Untersuchung, dass zwischen den für die Security zuständigen Teams und anderen beteiligten Teams Uneinigkeit darüber herrscht, wer konkret für die Sicherheit bei der Software-Entwicklung verantwortlich ist.

Michael Friedrich, Developer Evangelist bei GitLab : „Der DevSecOps 2020-Bericht zeigt, dass sich die Rollen ändern. Entwickler sind mit leistungsstarken Tools wie automatisierter Code-Security und Dependency-Scanning ausgestattet worden. Operations- / Site Reliability Engineering (SRE)-Teams können die Verwaltung von Zugangsdaten und Passwörter einfacher in den DevSecOps-Workflow integrieren. Monitoring hat sich von CI/CD-Pipelines zu Application-Performance-Monitoring in verteilten und hochverfügbaren Umgebungen verlagert und ermöglicht Gesundheits- und Performance-Reporting auf Git-Commit-Basis. Auch die DACH-Region beginnt, die Leistungsfähigkeit von Kubernetes und Cloud-Native-Microservices zu erkennen. Mit all den Verbesserungen werden wir in Zukunft mehr automatisierte Deployments in Produktion sehen.“ An der Umfrage nahmen 3.650 Entwickler aus 21 Ländern teil, rund 10 % davon stammen aus Deutschland, jeweils rund 1 % aus Österreich und der Schweiz. Damit stellt die DACH-Region nach der USA mit 19% den zweitgrößten Anteil der Beteiligten (12%), gefolgt von Indien mit rund 11 %. (Deutschland allein rangiert hiermit auf dem dritten Platz.)

Hier die wichtigsten Erkenntnisse des Berichts:

Die Adaption von DevOps nimmt zu

• Die Adoptionsraten von DevOps steigen: 25% der Unternehmen befinden sich im „Sweet Spot“ von DevOps mit drei bis fünf Jahren Erfahrung. Weitere 37% sind auf dem Weg dahin und verfügen über ein bis drei Jahre Erfahrung.

Grenzen zwischen Dev- und Ops-Teams verschwimmen

• Die traditionellen Grenzen zwischen Entwickler- und Operationsteams in der Softwareentwicklung verschwimmen: 35% der Entwickler geben an, dass sie die Infrastruktur definieren und / oder schaffen, auf der ihre Anwendung ausgeführt wird. Weitere 14% überwachen und reagieren unmittelbar auf diese Infrastruktur – eine Rolle, die traditionell das Operationsteam innehält.
• Da immer mehr Unternehmen DevOps verwenden, verschieben sich zunehmend die Rollen der Entwicklungsteams, da sich die Verantwortlichkeiten überschneiden. 70% der Operations-Experten gaben an, dass Entwickler ihre eigenen Umgebungen bereitstellen können.

Schnellere Softwareentwicklung

• 83% der Entwickler berichten, dass sie nach der Einführung von DevOps in der Lage sind, Code schneller freizugeben.
• CI / CD verkürzt nachweislich auch die Zeit für das Erstellen und Bereitstellen von Anwendungen. 38% gaben an, dass ihre DevOps-Implementierungen CI / CD enthalten. Das Testen hat sich jedoch nach Angaben von 47% der Befragten das zweite Jahr in Folge als wichtigster Engpass herausgestellt.
• Da die Unternehmen einheitlichere und vereinfachte DevOps-Toolchains entwickeln, profitieren die befragten Unternehmen nun vom kontinuierlichen Einsatz [continous deployment], bei dem Softwarefunktionen häufig über automatisierte Deployments bereitgestellt werden können. Fast 60 % der befragten Unternehmen nehmen nun mehrmals am Tag, einmal am Tag oder einmal alle paar Tage einen Einsatz vor – ein starker Anstieg gegenüber den 45 % der letztjährigen Umfrage.

Immer noch keine Einigung darüber, wer für die Sicherheit zuständig ist

• Es herrscht jedoch Verwirrung darüber, wer tatsächlich für die Sicherheit verantwortlich ist – so gaben 25 % der Entwickler an, dass sie sich allein für die Sicherheit verantwortlich fühlen – während dies Tester zu 23 % und Operations-Teams zu 21 % tun.
• Die Sicherheitsteams der Unternehmen scheinen der Meinung zu sein, dass die Verantwortung für die Sicherheit während der Software-Entwicklung breiter gefächert werden sollte: Während 33% der Mitglieder des Sicherheitsteams sagen, dass sie für die Sicherheit verantwortlich sind, sind fast ebenso viele (29%) der Meinung, dass jeder für die Sicherheit verantwortlich sein sollte.
• Wie bereits bei der Umfrage im letzten Jahr, gehen Sicherheitsteams davon aus, dass Entwickler Fehler nicht früh genug im Entwicklungszyklus finden. Über 42% gaben an, dass Tests immer noch zu spät im Lebenszyklus stattfinden, während 36% angaben, dass es schwierig ist, entdeckte Schwachstellen zu verstehen, zu verarbeiten und zu beheben, und 31% fanden, dass die Priorisierung der Schwachstellenbehebung ein harter Kampf sei.