返回文章列表
CTO | 开发 | 运维 | 安全 | 测试 2023-06-29

国内外 DevOps/DevSecOps 报告对比解读:安全与云原生持续升温

极狐GitLab
一体化安全 DevOps 平台

DevOps/DevSecOps 作为当下软件开发行业的前沿热点,吸引了广泛关注,国内外企业都在进行积极的探索。

 

2021 年 7 月 15 日,中国信通院云计算与大数据研究所治理与审计部重磅发布了《中国 DevOps 现状调查报告(2021年)》。报告从 DevOps 应用现状、企业对 DevOps 工具和技术的选择、DevOps 转型现状、DevOps 实践存在的问题和挑战、未来 DevOps 投入的趋势以及企业对政策/资质的需求这几个方面入手,分析了国内 DevOps 取得的进步和需要改进的地方。

 

而在今年早些时间,GitLab 发布了 2021 年《全球 DevSecOps 现状调查报告》(A Maturing DevSecOps Landscape | 2021 Global Survey results)。报告从软件的自动化程度、发布节奏、持续部署以及安全性方面的现状和发展进行了分析,并指出在 DevSecOps 实践中发挥重要作用的三大技术。

 

本文会将结合这两份业内权威报告的亮点数据,做横向的对比解读。究竟有哪些值得关注的内容,让我们一起来看看吧!

 

Part 1 全球 DevOps 发展呈上升趋势,敏捷、安全、云原生是重点领域

 

 软件开发人员是受访者的主体

 

  • 《全球 DevSecOps 现状报告》在 4300 份样本中,开发人员占比 41.67%,SRE/DevOps 占比为 10.25%。
  • 《中国 DevOps 报告》在 1862 份样本中,开发人员占比 35.18%,SRE/DevOps 占比为 6.87%。

 

DevOps 的采用率在逐年上升

 

  • 《全球 DevSecOps 现状报告》中指出 35.9% 的受访者在采用 DevOps/DevSecOps,这一数据在 2020 年为 27%。
  • 《中国 DevOps 报告》中指出成熟度处于全面级的企业达到 35.04%,增长 8.84%;16.53% 企业实践成熟度处于优秀级,0.87% 的企业处于卓越级。

 

注:根据组织内部落地实践 DevOps 的效果,DevOps 的成熟度,分为初始级(在组织局部范围内开始尝试 DevOps 活动并取得初期效果),基础级(在组织较大范围内推行 DevOps 实践,并获得局部效率提升),全面级(在组织内全面推行 DevOps 实践并贯穿软件全生命周期,提升整体效率),优秀级(在组织内全面落地 DevOps 并可按需交付用户价值实现整体效率最优),卓越级(在组织内全面形成持续改进的文化,并不断驱动 DevOps 在更大范围内取得成功)。

 

Scrum 和 Kanban 是较常用的敏捷管理实践方式

 

  • 《全球 DevSecOps 现状报告》中指出 Agile/Scrum 的使用率为 31.78%, Kanban 的使用率为 13.02%。
  • 《中国 DevOps 报告》中指出,培训或实践过 Scrum 的企业为 53.88%,培训或实践过 Kanban 的企业为 50.00%。

 

SAST 和镜像扫描是常用的 DevSecOps 实践手段

 

  • 《全球 DevSecOps 现状报告》中指出运行 SAST 的比例为 53% ,容器扫描为 14%。
  • 《中国 DevOps 报告》中指出运行 SAST 的比例为 52.57%,容器镜像安全扫描占比为 44.25%。

 

Kubernetes 采用率较高

 

  • 《全球 DevSecOps 现状报告》中指出 46% 的受访者使用了 Kubernetes。
  • 《中国 DevOps 报告》中指出 38.13% 的受访者使用了 Kubernetes。

 

GitLab 是使用率较高的 CI 工具

 

  • 《全球 DevSecOps 现状报告》中指出 GitLab CI 的使用率为 34%,Jenkins 为 21%。
  • 《中国 DevOps 报告》中指出 GitLab 作为持续交付工具的使用率 53.45%,Jenkins 为 64.20%。

 

Part 2 国内企业 DevOps 落地实践路线逐渐清晰,全球 DevSecOps 应用趋近成熟

 

《中国 DevOps 报告》的关注范围维度较广,从项目管理方法、软件开发框架、软件发布、安全等方面做了细致的分析。

 

Spring Boot 与 Spring Cloud 仍占据当前企业选择微服务技术的前两位

 

Spring Boot 占比为 54.94%,同比增长 23.72%;Spring Cloud 占比为 44.23%,同比增长 10.26%。

 

安全工具百花齐放,涉及代码安全、主机安全、web 安全、开源软件安全等

 

数据显示,代码安全工具 Coverity、主机安全工具绿盟、代码安全工具 Fortify 以及 Web 安全工具 AppScan 是企业应用最为广泛的四种安全工具,占比分别为 32.74%、 31.86%、23.36% 和 23.36%。其他被选择超过 15% 的安全工具有开源软件安全 GitLab(21.24%)、主机安全 Nessus(18.23%)、威胁情报奇安信 (16.46%)、威胁建模 Microsoft Threat Modeling Tool(16.11%)、代码安全 Cppcheck(15.40%)。

 

GitLab、Maven、Jenkins 和 Docker 是实践较广泛的持续交付工具

 

上述四种工具的占比分别为 53.45%、59.33%、64.20% 和 55.48%。可以看出 Jenkins 是当之无愧的王者。但是 GitLab 除了作为持续交付工具外,53.45% 的企业还将 GitLab 用作代码管理工具,这一数据超过 Gerrit 的 27.67%,GitHub 的 24.91% 以及 SVN 的 23.75%。

 

企业 DevOps 落地实践路线逐渐清晰,仍有 20%以上的企业难以确认转型成功与否

 

已有 73.50% 的企业进行了 DevOps 转型,其中,41.83% 的被调查者认为所在组织的 DevOps 实践是 成功的,同比增长 16.38%,有 4.94% 的被调查者认为自己组织的 DevOps 实践是不成功的,同比下降 3.82%。另外,有 20.03% 的被调查者无法判断所在组织的 DevOps 实践是否成功,同比下降 9.11%。

 

项目团队工作繁重,没有时间进行 DevOps 改进与缺乏相关领域专家成为组织级 DevOps 转型的最大阻碍

 

29.48% 的企业项目团队工作繁重,没有时间进行 DevOps 改进,同比增长 4.02%;29.05%的企业缺少具备 DevOps 经验的专家,导致推进缓慢无从下手,同比持平。

 

GitLab 《全球 DevSecOps 现状报告》侧重于安全方面,着重从开发、运维和安全三大部分着手。

 

1. “安全左移”持续升温

 

安全左移是 实现 DevSecOps 的重要手段之一。70% 的受访者表示他们所在的团队在实施安全左移,这一数据在 2020 年是 65%。

 

2. DevSecOps 实践所需三大重点技术:

 

  • Infrastructure as Code(IaC)
  • GitOps
  • Kubernetes

 

3. 谁该为安全负责?

这一直是一个比较难回答的问题,这也是为什么安全很重要,但是却很难推进做好的原因,《全球 DevSecOps 现状报告》中给出了关于谁来为安全负责这个话题的统计数据。

 

 

4. AI/ML 在安全中的使用率提升

11.5% 的受访者表示在落地实践 DevOps 的过程中使用了 AI/ML 技术,而这一数据在 2020 年仅仅为 4%。

 

5. DevOps 平台的使用率较高

70% 的受访者表示自己所在的团队使用了 DevOps 平台,DevOps 平台在提高协、测试简单化、可视化等方面能够很好的帮助团队。

 

结束语

 

现在企业考虑的已经不再是——“是否需要拥抱 DevOps 或 DevSecOps”,而是“如何做好 DevOps/DevSecOps 落地实践” 。

 

从 《中国 DevOps 报告》可以看出,国内企业在项目管理、工具链使用和建设、安全防护等方面取得了突出进展,但是依旧有上升的空间;从 《全球 DevSecOps 现状报告》可以看出,“安全左移”和“持续自动化测试”是 DevSecOps 重要关注点,AI/ML 、平台化将在 DevSecOps 的落地实践中发挥重要作用,比重将会越来越高。

 

两份报告内容详尽,本文仅对 DevOps 和 DevSecOps 发展现状与未来趋势作出亮点解读。

 

粉丝福利

 

关注极狐 GitLab 微信公众号(ID:JihuGitLab),即可获取以上两份完整报告。

获取《中国 DevOps 现状调查报告(2021)》后台回复 devops2021

 

声明:《中国 DevOps 现状调查报告(2021)》版权属于云计算开源产业联盟,并受法律保护。如有任何转载、摘编或利用其他方式使用本报告文字或观点的,请注明“来源:云计算开源产业联盟”。违反上述声明者,将承担相关法律责任。

极狐GitLab 一体化DevOps平台 专为中国用户研发,免费试用60天专业版高级功能
售前咨询
联系电话
在线支持
预约演示