2019年3月5号,Sonatype团队发布了一年一度的DevSecOps社区调研白皮书。这是DevSecOps的第六次年度的社区调查,在本年度共计包含对5,558份IT从业者的调研问卷的结果分析,是从安全角度来看DevOps实践的权威材料,而Sonatype也会在本年度3月28号展开详细的说明,让我们先睹为快。
调研机构
这份报告由Sonatype团队携手下列伙伴完成:
- CloudBees
- Signal Sciences
- Twistlock
- Carnegie Mellon’s Software Engineering Institute
数据来源
本次白皮书的调研数据主要信息如下:
- 数量: 共计5,558份调研数据
- 受访者所在组织规模:67%的受访者所在组织的开发人员超过25人
- 受访者身份:普通员工(Individual Contributor)占到65.74%, 经理25.24%,而执行级别的高级管理者占到9.01%
- 受访者职责:DevOps/开发者/架构/IT经理占到整体的70%左右,详细构成如下图所示
- 受访者公司所在行业:金融与科技是在实施DevOps是对安全最为关心的行业,两者加起来占据半壁江山。
解读:
在实践DevOps时,行业不同,对于安全的重视程度也不同。从对于安全事件非常关注的金融和科技行业的从业人员占到整体受访者的半数,这并不是偶然。当然,重视归重视,口头上的重视和实际的执行状况是需要进行对比的。我们将继续分析这份报告。
DevOps成熟度
在这份报告中,对于受访者所在组织的成熟度级别也通过一系列的问题进行了确认,对于成熟度高和低的组织的实践进行对比和分析。根据2019年的反馈揭示了DevOps团队已经对安全的集成进行了自动化的探索,这类的“左移”实践也在开发/运维/安全团队的协作方面得到了很好的效果。而关于本次受访者的成熟的,调查显示,
- 接近一半(48%)的属于“改进中”的水平,较好(27%)和较差各占一半(25%)。