DevSecOps: ИИ меняет роли разработчиков, но не все так гладко
22 апреля 2023 г.Новое исследование DevSecOps, проведенное GitLab, показывает, что 65% разработчиков используют искусственный интеллект и машинное обучение в своих усилиях по тестированию кода или планируют сделать это в течение следующих трех лет, что свидетельствует о потенциально значительном сдвиге в сторону автоматизации процессов разработки программного обеспечения.
В седьмом ежегодном отчете GitLab Global DevSecOps Report было опрошено более 5000 ИТ-лидеров, директоров по информационной безопасности и разработчиков в сфере финансовых услуг, автомобилестроения, здравоохранения, телекоммуникаций и технологий. Цель опроса, проведенного агентством маркетинговых исследований Savanta в марте 2023 года, заключалась в том, чтобы понять успехи, проблемы и приоритеты внедрения DevSecOps.
Перейти к:
- Растущая зависимость от AI и ML
Проблемы для разработчиков и специалистов по безопасности
Тенденция к «смещению влево»
Самые важные навыки для профессионалов в области безопасности
Беспокойство по поводу того, как AI/ML повлияет на рабочие места
Как лидеры могут расширить возможности DevSecOps
Растущая зависимость от AI и ML
Среди ключевых выводов в отчете GitLab был тот факт, что внедрение AI/ML в рабочие процессы разработки программного обеспечения и безопасности продолжает ускоряться: 62% разработчиков программного обеспечения используют AI/ML для проверки кода — по сравнению с 51% в 2022 году — в то время как 53% использование ботов в процессе тестирования по сравнению с 39% в прошлом году.
Отчет GitLab показал, что организации начали раньше включать безопасность в жизненный цикл разработки программного обеспечения, а AI/ML играли решающую роль в выявлении уязвимостей в коде. Исследование показало, что разработчики, которые использовали платформу DevSecOps, с большей вероятностью внедряли автоматизацию и AI/ML для тестирования, чем те, кто этого не делал.
Проблемы для разработчиков и специалистов по безопасности
Сложность цепочки инструментов
Разработчики и специалисты по безопасности продолжают сталкиваться с трудностями при работе с различными инструментами и приложениями, которые они должны использовать в рамках своей роли. Управление набором инструментов — это проблема, в частности, для специалистов по безопасности.
GitLab обнаружил, что 57 % респондентов по безопасности сообщили об использовании шести или более инструментов по сравнению с 48 % разработчиков и 50 % специалистов по эксплуатации.
Не только это, похоже, набор инструментов профессионалов в области безопасности расширяется. В отчете GitLab Global DevSecOps за 2022 год 54% респондентов по безопасности заявили, что используют от двух до пяти инструментов в своем рабочем процессе, а 35% сообщили, что используют от шести до десяти; в 2023 году эти показатели составили 42% и 43% соответственно.
Последовательный мониторинг безопасности
Как и ожидалось, множество инструментов, которые должны использовать специалисты по безопасности, усложняет постоянный мониторинг: 26% специалистов по безопасности считают это проблемой. Аналогичным образом, 26 % респондентов по вопросам безопасности сообщили о трудностях с получением целостной информации от всех интегрированных инструментов, а две трети (66 %) заявили, что в результате хотели бы консолидировать свои наборы инструментов.
Исследование показало растущее осознание безопасности как общей ответственности среди команд DevSecOps: 71% опрошенных специалистов по безопасности сообщили, что разработчики устраняют четверть или более всех уязвимостей безопасности — по сравнению с 53% в 2022 году.
Тенденция к «смещению влево»
В отчете подчеркивается сдвиг в сторону межфункционального сотрудничества: 38% специалистов по безопасности сообщили, что являются частью команды, занимающейся вопросами безопасности, по сравнению с 29% в 2022 году.
Согласно GitLab, эта тенденция отражает движение отрасли к включению безопасности на более ранних этапах жизненного цикла разработки программного обеспечения, известное как «сдвиг влево». Такой подход позволяет группам разработки, безопасности и эксплуатации более эффективно работать вместе, а не разрозненно.
Поскольку 85% респондентов, ответивших на вопросы безопасности, сообщают о том же или меньшем бюджете, чем в 2022 году, техническим командам приходится тратить больше, чем когда-либо.
ПОСМОТРЕТЬ: Почему смещение влево стоит на повестке дня DevSecOps
В пресс-релизе об отчете Дэвид ДеСанто, директор по продуктам в GitLab, сказал, что инструменты и методологии DevSecOps могут позволить организациям добиться большей безопасности и эффективности за счет консолидации наборов инструментов и снижения затрат, что в конечном итоге высвободит команды разработчиков, чтобы сосредоточиться на критически важных обязанностях. и новые решения.
«Организации во всем мире ищут способы делать больше с меньшими затратами. Это означает, что эффективность и безопасность не могут быть взаимоисключающими при определении возможностей для сохранения конкурентоспособности», — сказал ДеСанто.
«Исследование GitLab показывает, что инструменты и методологии DevSecOps позволяют руководителям лучше защищать и консолидировать свои разрозненные, фрагментированные цепочки инструментов и сокращать расходы, а также высвобождают команды разработчиков, чтобы тратить время на критически важные обязанности и инновационные решения».
SEE: Службы безопасности — не единственные, кто пытается сделать больше с меньшими затратами.
Самые важные навыки для профессионалов в области безопасности
По мере того, как ИИ и машинное обучение становятся все более неотъемлемой частью жизненного цикла разработки программного обеспечения, организациям необходимо будет обеспечить, чтобы группы безопасности были оснащены необходимыми навыками и инструментами, чтобы в полной мере использовать преимущества новых технологий. Однако GitLab обнаружил, что AI и ML конкурируют с другими важными областями, поскольку специалисты по безопасности меняют свои профессиональные цели.
ПОСМОТРЕТЬ: узнайте о различных профессиях и направлениях развития DevOps
В 2022 году специалисты по безопасности определили AI/ML как наиболее важный навык для продвижения по карьерной лестнице — в большей степени, чем разработчики и специалисты по эксплуатации.
В этом году, хотя почти четверть (23%) специалистов по безопасности выбрали AI/ML в качестве основных навыков, они придавали большее значение навыкам межличностного общения (31%), предметным знаниям (30%), метрикам и количественным данным (27%). — предлагая профессионалам осознать необходимость всестороннего набора навыков для преодоления современных вызовов безопасности.
Беспокойство по поводу того, как AI/ML повлияет на рабочие места
Существует некоторое сопротивление ускоренному внедрению ИИ и МО в цикле разработки программного обеспечения, который руководителям необходимо будет тщательно контролировать.
Как и в других отраслях, исследование GitLab показало, что технические специалисты беспокоятся о том, что AI/ML означает для их работы: две трети (67%) респондентов по безопасности заявили, что их беспокоит влияние возможностей AI/ML на их роль, 28% заявили, что они «очень» или «чрезвычайно» обеспокоены.
Из тех респондентов, которые выразили обеспокоенность, 25% сказали, что они обеспокоены тем, что AI/ML может внести ошибки, которые усложнят их работу. Между тем, 29% обеспокоены тем, что AI/ML сократит количество доступных рабочих мест, а 23% выразили обеспокоенность тем, что AI/ML сделает их навыки устаревшими.
Как лидеры могут расширить возможности DevSecOps
Инвестируйте в обучение и инструменты AI/ML
Организации должны уделить первоочередное внимание оснащению своих групп безопасности необходимыми навыками и инструментами для эффективного использования ИИ и машинного обучения в своих рабочих процессах разработки программного обеспечения и обеспечения безопасности, максимизируя преимущества автоматизации и повышая эффективность.
Содействовать межфункциональному сотрудничеству
Поощряйте левый подход, способствуя сотрудничеству между командами разработки, безопасности и эксплуатации, что приведет к более упорядоченному и эффективному жизненному циклу разработки программного обеспечения, включающему безопасность с нуля.
Консолидация и оптимизация наборов инструментов
Специалисты по безопасности используют несколько инструментов, что приводит к дополнительной сложности. Сосредоточьтесь на консолидации и упрощении цепочек инструментов, чтобы повысить эффективность, уменьшить трения и расходы и позволить группам безопасности сосредоточиться на своих основных обязанностях.
Оригинал