軟件公司Sonatype已發(fā)布了其第七次年度DevSecOps社區(qū)調(diào)查，其中揭示了一些有趣的發(fā)現(xiàn)。根據(jù)數(shù)據(jù)，DevSecOps不僅使代碼更安全，而且還使開發(fā)人員更快樂！讓我們仔細(xì)看看。

在新聞稿中宣布，超過5,000名受訪者參加了Sonatype的2020 DevSecOps社區(qū)調(diào)查。

參與者扮演不同的組織角色，來自不同國家，主要是美國，英國，印度，加拿大和德國。大多數(shù)人在技術(shù)行業(yè)（39％），銀行和金融服務(wù)（15％）以及咨詢服務(wù)（7％）工作。

讓我們深入研究結(jié)果。

DevOps成熟度

DevOps成熟度的采用被15％的受訪者評為“成熟”，而將36％的受訪者評為“改善”?！拔闯墒臁保?9％）得到的答案最多。不過，有55％的人表示他們每周至少部署一次，其中24％的人每周部署多次。另一方面，每年的部署變得非常罕見：只有1％的人使用此模型。

DevSecOps工具

DevOps的成熟和不成熟實(shí)踐顯示出在采用安全工具方面的不同偏好。WAF（Web應(yīng)用程序防火墻）和OSS（開放源代碼軟件治理）在兩個成熟度級別中均排在首位。59％的成熟團(tuán)隊(duì)和51％的未成熟DevOps團(tuán)隊(duì)使用WAF，而OSS的使用率分別為44％（成熟）和31％（未成熟）。

接下來最受歡迎的工具是IDS / IPS（入侵檢測/保護(hù)系統(tǒng)），SAST（靜態(tài)分析安全測試）和DLP（數(shù)據(jù)丟失防護(hù)）。在列表的后面，使用率的差異增加了：成熟的DevOps團(tuán)隊(duì)使用CSA，DAST，SCA和IAST的頻率是其兩倍。

毫不奇怪，成熟的DevOps團(tuán)隊(duì)也幾乎兩倍地表示，他們已將安全工具正確地集成到其管道中。

安全漏洞意識

在今年的調(diào)查中，有24％的受訪者表示他們在過去12個月內(nèi)已確認(rèn)或懷疑存在安全漏洞。根據(jù)DevOps的成熟度，響應(yīng)范圍在19％和28％之間。

Sonatype將調(diào)查結(jié)果解釋為暗示更高的成熟度水平不會導(dǎo)致違反數(shù)量的增加，而是會導(dǎo)致人們對違反行為的意識增強(qiáng)：在成熟的DevOps實(shí)踐中，失敗并非無言以對，而是有回報的。

開發(fā)者幸福

Sonatype不僅想了解事實(shí)，還想了解DevOps團(tuán)隊(duì)成員的滿意度。事實(shí)證明，隨著DevOps的成熟，工作滿意度會提高：成熟團(tuán)隊(duì)中92％的受訪者表示對工作感到滿意，而在不成熟的DevOps團(tuán)隊(duì)中只有61％的人同意這一說法。

另一個發(fā)現(xiàn)是，快樂的開發(fā)人員更頻繁地執(zhí)行代碼安全分析：65％的快樂開發(fā)人員表示，他們執(zhí)行代碼安全分析，而脾氣暴躁的開發(fā)人員只有34％。快樂的開發(fā)人員也很少遇到同事之間的摩擦。