GitLab 的新 DevSecOps 研究表明,65% 的开发人员正在代码测试工作中使用人工智能和机器学习,或计划在未来三年内这样做,这标志着软件开发流程自动化的潜在重大转变。
GitLab 第七份年度全球 DevSecOps 报告对金融服务、汽车、医疗保健、电信和科技行业的 5,000 多名 IT 领导者、CISO 和开发人员进行了调查。 该调查由市场研究机构 Savanta 于 2023 年 3 月进行,目的是了解 DevSecOps 实施的成功、挑战和优先事项。
对人工智能和机器学习的依赖日益增加
GitLab 报告的主要发现之一是,人工智能/机器学习在软件开发和安全工作流程中的采用持续加速,62% 的软件开发人员使用人工智能/机器学习来检查代码(高于 2022 年的 51%),而 53% 的软件开发人员使用人工智能/机器学习来检查代码。 在测试过程中使用机器人的比例高于去年的 39%。
GitLab 的报告发现,组织更早地开始将安全性纳入软件开发生命周期,其中 AI/ML 在识别代码漏洞方面发挥着关键作用。 研究发现,使用 DevSecOps 平台的开发人员比没有使用 DevSecOps 平台的开发人员更有可能实现自动化和 AI/ML 进行测试。
开发人员和安全专家面临的挑战
工具链复杂性
开发人员和安全专业人员继续面临着处理他们在其角色中使用的各种工具和应用程序的挑战。 工具链管理对于安全专业人员来说尤其是一个问题。
GitLab 发现,57% 的安全受访者表示使用六种或更多工具,而开发人员和运营专业人员的比例分别为 48% 和 50%。
不仅如此,安全专业人员的工具链似乎还在扩展。 在 GitLab 的 2022 年全球 DevSecOps 报告中,54% 的安全受访者表示他们在工作流程中使用了 2 到 5 个工具,而 35% 的人表示使用了 6 到 10 个工具; 到 2023 年,这些数字分别为 42% 和 43%。
一致的安全监控
可以预见的是,安全专业人员预计将使用过多的工具,这使得维护一致的监控变得更加困难,26% 的安全专业人员认为这是一个问题。 同样,26% 的安全受访者表示很难从所有集成工具中获得一致的见解,三分之二 (66%) 的受访者表示他们希望因此整合他们的工具链。
该研究表明,人们越来越意识到安全是 DevSecOps 团队的共同责任,接受调查的安全专业人士中有 71% 表示,开发人员捕获了所有安全漏洞的四分之一或更多,而 2022 年这一比例为 53%。
“左移”趋势
该报告强调了向跨职能协作的转变,38% 的安全专业人员表示自己是专注于安全的团队的一部分,而 2022 年这一比例为 29%。
据 GitLab 称,这一趋势反映了行业在软件开发生命周期的早期阶段将安全性纳入其中的趋势,即“左移”。 这种方法使开发、安全和运营团队能够更有效地合作,而不是各自为政。
由于 85% 的安全受访者表示预算与 2022 年相同或更低,技术团队不得不比以往任何时候都更加投入。
在有关该报告的新闻稿中,GitLab 首席产品官 David DeSanto 表示,DevSecOps 工具和方法可以使组织通过整合工具链和降低成本来实现更好的安全性和效率,最终使开发团队能够专注于关键任务职责 和新颖的解决方案。
“全球的组织都在寻找用更少的资源做更多的事情的方法。 这意味着在寻找保持竞争力的机会时,效率和安全性不能相互排斥。”DeSanto 说道。
“GitLab 的研究表明,DevSecOps 工具和方法可以让领导层更好地保护和整合不同的、分散的工具链并减少支出,同时还可以让开发团队将时间花在关键任务和创新解决方案上。”
安全专业人员最重要的技能
随着人工智能和机器学习成为软件开发生命周期中更不可或缺的一部分,组织将需要确保安全团队配备正确的技能和工具,以充分利用新技术。 然而,GitLab 发现,随着安全专业人员调整其职业目标,人工智能和机器学习正在与其他高影响力领域竞争。
2022 年,安全专业人士将 AI/ML 视为推动其职业生涯发展的最重要技能——比开发人员和运营专业人士更重要。
今年,虽然近四分之一 (23%) 的安全专业人员选择 AI/ML 作为首要技能,但他们更重视软技能 (31%)、主题专业知识 (30%) 以及指标和定量见解 (27%) – 建议专业人士认识到需要全面的技能来应对现代安全挑战。
担心人工智能/机器学习将如何影响就业
在软件开发周期中加速采用人工智能和机器学习存在一些阻力,领导者需要谨慎应对。
与其他行业一样,GitLab 的调查发现,技术专业人士担心 AI/ML 对他们的工作意味着什么:三分之二 (67%) 的安全受访者表示,他们担心 AI/ML 功能对其角色的影响,其中 28% 的人表示“非常”或“极其”担心。
在表示担忧的受访者中,25% 的人表示他们担心人工智能/机器学习可能会引入错误,从而使他们的工作变得更加困难。 与此同时,29% 的人担心人工智能/机器学习会减少可用工作的数量,23% 的人表示担心人工智能/机器学习会让他们的技能过时。
领导者如何赋能 DevSecOps
投资人工智能/机器学习培训和工具
组织应优先为其安全团队配备必要的技能和工具,以便在软件开发和安全工作流程中有效利用人工智能和机器学习,最大限度地发挥自动化的优势并提高效率。
促进跨职能协作
通过促进开发、安全和运营团队之间的协作,鼓励左转方法,从而实现更加精简和高效的软件开发生命周期,从头开始纳入安全性。
整合并简化工具链
安全专业人员正在使用多种工具,导致复杂性增加。 专注于整合和简化工具链,以提高效率、减少摩擦和成本,并使安全团队能够专注于其关键职责。
