GitLab Survey wijst op kloof tussen developer- en security-team

GitLab, aanbieder van een open source-applicatie voor integrale ondersteuning van de gehele DevOps-cyclus, maakt de resultaten bekend van zijn jaarlijkse Global Developer Survey. Voor het wereldwijde onderzoek hield GitLab vraaggesprekken met 4.071 softwareprofessionals in de periode van 23 januari 2019 tot 27 februari 2019.

Uit de enquête onder ruim 4.000 respondenten blijkt dat security-teams bij organisaties met een effectief DevOps-proces een drie keer grotere kans maken om bugs te vinden voordat code wordt samengevoegd. Verder testen deze teams met 90 procent grotere waarschijnlijkheid tussen de 91 procent en 100 procent van alle programmatuur dan teams binnen organisaties waar DevOps nog in de kinderschoenen staat. Bijna de helft van alle respondenten paste het principe van continous deployment toe binnen minimaal één onderdeel van hun organisatie. Tegelijkertijd vindt slechts een derde van de respondenten de DevOps binnen hun organisatie goed.

Volledige levenscyclus van softwareontwikkeling
Een juiste aanpak van DevOps zet de beveiliging kracht bij, maakt continuous deployment mogelijk en zorgt voor verbeterde samenwerking tussen het developer-team, security-team en operationele team (DevSecOps).
“De resultaten van de Global Developer Survey van dit jaar bieden niet alleen inzicht in de bedrijfscultuur, workflows en tools van organisaties, maar ook in hun operationele en security-teams. Dit maakt het mogelijk om de volledige levenscyclus van softwareontwikkeling uitgebreid in kaart te brengen”, zegt Sid Sijbrandij, CEO en medeoprichter van GitLab. “De belangrijkste conclusie van dit onderzoek is dat organisaties die in een vroegtijdig stadium krachtige DevOps-praktijken hebben toegepast, merken dat de beveiliging hierdoor is verbeterd en het eenvoudiger is om te innoveren. Desondanks blijft er sprake van struikelblokken die development- en security-teams ervan weerhouden om werkelijke DevSecOps te realiseren. Teams hebben behoefte aan één oplossing die inzicht biedt in beide aspecten van het proces, zodat het ontwikkelingsproces kan worden gestroomlijnd.”

Serieuze bottlenecks in het beveiligingsproces
Alle softwareprofessionals onderkennen de noodzaak om de beveiliging met de ontwikkelingscyclus te integreren, maar uit de enquêteresultaten blijkt echter dat er nog steeds sprake is van frictie tussen het development- en security-team. Terwijl 69 procent van de developers zegt dat er van hen wordt verwacht dat ze veilige programmatuur afleveren, vindt bijna de helft van de beveiligingsprofessionals (49 procent) het lastig om developers ertoe te bewegen om prioriteit te geven aan het verhelpen van kwetsbaarheden. Volgens 68 procent van de beveiligingsprofessionals is minder dan de helft van de developers in staat om beveiligingslekken in een later stadium van de ontwikkelingscyclus te vinden. Grofweg de helft van de beveiligingsprofessionals zegt dat zij bugs het meest spotten nadat een code werd toegevoegd aan de testomgeving.

“Volgens ons onderzoek zijn de meeste developers zich bewust van de gevaren die kwetsbaarheden met zich meebrengen en willen zij hun beveiligingsmogelijkheden fors uitbreiden. Helaas vinden zij vaak onvoldoende draagvlak binnen hun organisatie om prioriteit toe te kennen aan de ontwikkeling van veilige programmatuur, het aanscherpen van hun programmeervaardigheden en de inzet van scan- en testtools die dit proces versnellen”, zegt Colin Fletcher, manager Market Research & Customer Insights bij GitLab.

Volwassen versus onvolwassen DevOps-modellen
GitLab bemerkt daarnaast dat teams die een volwassen DevOps-model hebben geïmplementeerd forse verbeteringen zien in hun workflow. Developers bij organisaties met ‘onvolwassen’ DevOps-modellen hebben daarentegen het gevoel dat hun processen hen in de weg zitten.

Developers die met 'volwassen’ DevOps-modellen werken:
• hebben 1,5 keer vaker het gevoel innovatief bezig te zijn
• ontdekken beveiligingslekken met drie keer grotere waarschijnlijkheid in een vroegtijdig stadium
Minder volwassen DevOps-implementaties zorgen er daarentegen voor dat organisaties:
• met 2,5 keer grotere waarschijnlijkheid vertraging oplopen tijdens de planningsfase
• met 2,6 keer grotere waarschijnlijkheid te maken krijgen met bureaucratie die het verhelpen van kwetsbaarheden vertraagt.

Continuous Delivery
Continuous delivery (oftewel on demand implementaties en/of meerdere implementaties per dag) is voor veel developers van groot belang. Van alle ondervraagde developers zei 43 procent dat er binnen hun organisatie gebruik wordt gemaakt van continuous delivery. 41 procent zegt dat implementaties tussen de één keer per dag en één keer per maand plaatsvinden.

Het volledige 2019 Global Developer Report: DevSecOps en een speciale blog van GitLab brengen in kaart wat softwareprofessionals als de belangrijkste voordelen en uitdagingen van DevOps zien.