国内外 DevOps/DevSecOps 报告对比解读：安全与云原生持续升温

DevOps/DevSecOps 作为当下软件开发行业的前沿热点，吸引了广泛关注，国内外企业都在进行积极的探索。

2021 年 7 月 15 日，中国信通院云计算与大数据研究所治理与审计部重磅发布了《中国 DevOps 现状调查报告（2021年）》。报告从 DevOps 应用现状、企业对 DevOps 工具和技术的选择、DevOps 转型现状、DevOps 实践存在的问题和挑战、未来 DevOps 投入的趋势以及企业对政策/资质的需求这几个方面入手，分析了国内 DevOps 取得的进步和需要改进的地方。

而在今年早些时间，GitLab 发布了 2021 年《全球 DevSecOps 现状调查报告》(A Maturing DevSecOps Landscape | 2021 Global Survey results)。报告从软件的自动化程度、发布节奏、持续部署以及安全性方面的现状和发展进行了分析，并指出在 DevSecOps 实践中发挥重要作用的三大技术。

本文会将结合这两份业内权威报告的亮点数据，做横向的对比解读。究竟有哪些值得关注的内容，让我们一起来看看吧！

Part 1 全球 DevOps 发展呈上升趋势，敏捷、安全、云原生是重点领域

 软件开发人员是受访者的主体

• 《全球 DevSecOps 现状报告》在 4300 份样本中，开发人员占比 41.67%，SRE/DevOps 占比为 10.25%。
• 《中国 DevOps 报告》在 1862 份样本中，开发人员占比 35.18%，SRE/DevOps 占比为 6.87%。

DevOps 的采用率在逐年上升

• 《全球 DevSecOps 现状报告》中指出 35.9% 的受访者在采用 DevOps/DevSecOps，这一数据在 2020 年为 27%。
• 《中国 DevOps 报告》中指出成熟度处于全面级的企业达到 35.04%，增长 8.84%；16.53% 企业实践成熟度处于优秀级，0.87% 的企业处于卓越级。

注：根据组织内部落地实践 DevOps 的效果，DevOps 的成熟度，分为初始级(在组织局部范围内开始尝试 DevOps 活动并取得初期效果），基础级(在组织较大范围内推行 DevOps 实践，并获得局部效率提升)，全面级(在组织内全面推行 DevOps 实践并贯穿软件全生命周期，提升整体效率)，优秀级(在组织内全面落地 DevOps 并可按需交付用户价值实现整体效率最优)，卓越级(在组织内全面形成持续改进的文化，并不断驱动 DevOps 在更大范围内取得成功)。

Scrum 和 Kanban 是较常用的敏捷管理实践方式

• 《全球 DevSecOps 现状报告》中指出 Agile/Scrum 的使用率为 31.78%， Kanban 的使用率为 13.02%。
• 《中国 DevOps 报告》中指出，培训或实践过 Scrum 的企业为 53.88%，培训或实践过 Kanban 的企业为 50.00%。

SAST 和镜像扫描是常用的 DevSecOps 实践手段

• 《全球 DevSecOps 现状报告》中指出运行 SAST 的比例为 53% ，容器扫描为 14%。
• 《中国 DevOps 报告》中指出运行 SAST 的比例为 52.57%，容器镜像安全扫描占比为 44.25%。

Kubernetes 采用率较高

• 《全球 DevSecOps 现状报告》中指出 46% 的受访者使用了 Kubernetes。
• 《中国 DevOps 报告》中指出 38.13% 的受访者使用了 Kubernetes。

GitLab 是使用率较高的 CI 工具

• 《全球 DevSecOps 现状报告》中指出 GitLab CI 的使用率为 34%，Jenkins 为 21%。
• 《中国 DevOps 报告》中指出 GitLab 作为持续交付工具的使用率 53.45%，Jenkins 为 64.20%。

Part 2 国内企业 DevOps 落地实践路线逐渐清晰，全球 DevSecOps 应用趋近成熟

《中国 DevOps 报告》的关注范围维度较广，从项目管理方法、软件开发框架、软件发布、安全等方面做了细致的分析。

Spring Boot 与 Spring Cloud 仍占据当前企业选择微服务技术的前两位

Spring Boot 占比为 54.94%，同比增长 23.72%；Spring Cloud 占比为 44.23%，同比增长 10.26%。

安全工具百花齐放，涉及代码安全、主机安全、web 安全、开源软件安全等

数据显示，代码安全工具 Coverity、主机安全工具绿盟、代码安全工具 Fortify 以及 Web 安全工具 AppScan 是企业应用最为广泛的四种安全工具，占比分别为 32.74%、 31.86%、23.36% 和 23.36%。其他被选择超过 15% 的安全工具有开源软件安全 GitLab(21.24%)、主机安全 Nessus(18.23%)、威胁情报奇安信 (16.46%)、威胁建模 Microsoft Threat Modeling Tool(16.11%)、代码安全 Cppcheck(15.40%)。

GitLab、Maven、Jenkins 和 Docker 是实践较广泛的持续交付工具

上述四种工具的占比分别为 53.45%、59.33%、64.20% 和 55.48%。可以看出 Jenkins 是当之无愧的王者。但是 GitLab 除了作为持续交付工具外，53.45% 的企业还将 GitLab 用作代码管理工具，这一数据超过 Gerrit 的 27.67%，GitHub 的 24.91% 以及 SVN 的 23.75%。

企业 DevOps 落地实践路线逐渐清晰，仍有 20%以上的企业难以确认转型成功与否

已有 73.50% 的企业进行了 DevOps 转型，其中，41.83% 的被调查者认为所在组织的 DevOps 实践是 成功的，同比增长 16.38%，有 4.94% 的被调查者认为自己组织的 DevOps 实践是不成功的，同比下降 3.82%。另外，有 20.03% 的被调查者无法判断所在组织的 DevOps 实践是否成功，同比下降 9.11%。

项目团队工作繁重，没有时间进行 DevOps 改进与缺乏相关领域专家成为组织级 DevOps 转型的最大阻碍

29.48% 的企业项目团队工作繁重，没有时间进行 DevOps 改进，同比增长 4.02%;29.05%的企业缺少具备 DevOps 经验的专家，导致推进缓慢无从下手，同比持平。

GitLab 《全球 DevSecOps 现状报告》侧重于安全方面，着重从开发、运维和安全三大部分着手。

1. “安全左移”持续升温

安全左移是 实现 DevSecOps 的重要手段之一。70% 的受访者表示他们所在的团队在实施安全左移，这一数据在 2020 年是 65%。

2. DevSecOps 实践所需三大重点技术：

• Infrastructure as Code(IaC)
• GitOps
• Kubernetes

3. 谁该为安全负责？

这一直是一个比较难回答的问题，这也是为什么安全很重要，但是却很难推进做好的原因，《全球 DevSecOps 现状报告》中给出了关于谁来为安全负责这个话题的统计数据。

4. AI/ML 在安全中的使用率提升

11.5% 的受访者表示在落地实践 DevOps 的过程中使用了 AI/ML 技术，而这一数据在 2020 年仅仅为 4%。

5. DevOps 平台的使用率较高

70% 的受访者表示自己所在的团队使用了 DevOps 平台，DevOps 平台在提高协、测试简单化、可视化等方面能够很好的帮助团队。

结束语

现在企业考虑的已经不再是——“是否需要拥抱 DevOps 或 DevSecOps”，而是“如何做好 DevOps/DevSecOps 落地实践” 。

从 《中国 DevOps 报告》可以看出，国内企业在项目管理、工具链使用和建设、安全防护等方面取得了突出进展，但是依旧有上升的空间；从 《全球 DevSecOps 现状报告》可以看出，“安全左移”和“持续自动化测试”是 DevSecOps 重要关注点，AI/ML 、平台化将在 DevSecOps 的落地实践中发挥重要作用，比重将会越来越高。

两份报告内容详尽，本文仅对 DevOps 和 DevSecOps 发展现状与未来趋势作出亮点解读。

粉丝福利

关注极狐 GitLab 微信公众号(ID：JihuGitLab)，即可获取以上两份完整报告。

获取《中国 DevOps 现状调查报告(2021)》后台回复 devops2021

声明：《中国 DevOps 现状调查报告（2021）》版权属于云计算开源产业联盟，并受法律保护。如有任何转载、摘编或利用其他方式使用本报告文字或观点的，请注明“来源：云计算开源产业联盟”。违反上述声明者，将承担相关法律责任。