Yazılım geliştiricileri ve operasyon ekipleri, DevOps ve diğer çevik metodolojilerin yanı sıra otomasyon ve düşük kodlu hizmetleri benimsemeye devam ediyor, ancak yine de güvenlikle, COVID-19 pandemisinin etkileriyle ve vasıflı güvenlik çalışanı eksikliğiyle mücadele ediyor. GitLab’dan yeni yayınlanan yıllık anket.
5.000’den fazla yazılım geliştiricisi, operasyon uzmanı ve uygulama güvenliği uzmanının katıldığı ankete göre DevSecOps, daha iyi kod kalitesi, daha yüksek geliştirici üretkenliği ve gelişmiş operasyonel verimlilik sağlıyor. Ancak güvenlik hala bir sorundur. Ankete katılanların yarısından fazlası (%57) güvenliği bir performans metriği olarak değerlendirirken, hemen hemen aynı sayı “geliştiricilerin kod açıklarını düzeltmeye gerçekten öncelik vermesini sağlamanın zor” olduğunu söyledi.
GitLab’da bilgi güvenliği ve siber güvenlik başkan yardımcısı Johnathan Hunt, araç zinciri sağlayıcısı tarafından yürütülen anketin, geliştirme ve dağıtım sürecindeki tüm katılımcıların gruplar arasındaki iletişimi ve ilişkileri iyileştirmesi gerektiğinin altını çizdiğini söylüyor.
Hunt, “Geliştiricilerin ve güvenlik uzmanlarının birlikte daha iyi çalışmasını sağlamak, bir DevOps kültürünün oluşturulması yoluyla yazılım geliştirmede kültür öncelikli bir yaklaşım gerektirir” diyor. “Bir DevOps platformu, kuruluşlara DevSecOps ekipleri arasında sorunsuz işbirliği, güvenlik ve uyumluluğun ortak mülkiyeti ve otomasyon ve AI/ML gibi teknolojilerin stratejik kullanımları sağlayarak bu yaklaşıma iyi bir şekilde katkıda bulunur.”
Karıştır ve Eşleştir
bu anket bulundu yazılım geliştirmeye yönelik tek bir baskın yaklaşımın bulunmadığını ve çoğu takımın bir yaklaşımlar karışımını kullandığını. Geliştirme ekiplerinin çoğunluğu (%47) DevOps ve DevSecOps kullanırken, diğer çevik yaklaşımlar da önemli paylara sahipti: Ekiplerin %34’ü Scrum, %24’ü Kanban ve %29’u Yalın metodolojilerini kullandı. Ekipler, dörtte birinden fazlası (%26) bu yaklaşımı benimseyerek Waterfall geliştirme kullanımlarını genişletti.
Hunt, “DevOps ekipleri kendilerini herhangi bir çalışma şekliyle sınırlamıyor” diyor. “Esnekler ve çeşitli iş ve proje ihtiyaçlarını karşılamak için yaklaşımlarını değiştirmeye istekliler.”
Yazılım geliştirme ve dağıtıma yönelik çevik yaklaşımlardaki artış, yazılımın daha hızlı dağıtılmasıyla sonuçlandı. Ankete katılan her 10 kişiden yedisi, ekiplerinin en az birkaç günde bir veya daha sık konuşlandırdığını, bu da 2021’den 11 puanlık bir artış olduğunu söyledi. Otomatik test, dağıtım ve güvenlik kontrollerini geliştirme hattına entegre etmek, Takımların neredeyse yarısı (%47), testlerinin 2021’deki %25’ten bugün tamamen otomatik olduğunu iddia ediyor.
Geliştirme için düşük kodlu ve kodsuz API’lerin benimsenmesi de ekipleri daha verimli hale getirdi. Ankete katılanların üçte ikisi (%66), DevOps uygulamalarında en az bir düşük kodlu veya kodsuz araç kullanıyor; bu, 2021’de ankete katılanların %25’inden önemli bir artış.
GitLab’ın araştırmasına göre, yazılım geliştirme, devreye alma ve güvence altına alma için artan sayıda seçenek daha fazla kafa karışıklığına neden oldu ve DevOps ekiplerinin boru hattını ve araç setlerini basitleştirme arayışına girmesine neden oldu. DevOps ekiplerinin %44’ü yazılım geliştirme sürecini yönetmek için iki ila beş araç kullanırken, %41’i altı ila 10 araç kullanıyor.
Anket raporunda GitLab, “Bu çok fazla araç ve ankete katılanların %69’u bize araç zincirlerini konsolide etmek istediklerini söyledi” dedi.
Yapay Zeka ve Makine Öğrenimi ‘Yükselişte’
Yapay zeka ve makine öğrenimi teknolojileri, geliştiriciler ve uygulama güvenliği uzmanları arasında karışık bir şekilde benimsendi. AI/ML, geliştiricilerin gelecekteki kariyerleri için öncelikler listesinin en altında yer alırken, güvenlik uzmanlarının çoğunluğu (%54), AI/ML’nin gelecekteki kariyerlerinde onlara en çok yardımcı olacağını söyledi. AI/ML özellikle güvenlik alanına uygundur. Örneğin, AI/ML sistemleri tehditleri tespit etmek ve bunlara yanıt vermek, uyarılar oluşturmak ve kural kümelerini tetiklemek için eğitilebilir.
Hunt, “Ancak AI/ML, geliştiricilerin radarlarından düşmekten çok uzak. Aslında, kullanımı artıyor” diyor ve ekliyor: “Bu, özellikle saldırıları ve kötü niyetli aktörleri tespit etmek ve bunlara karşı savunmak söz konusu olduğunda yararlıdır, çünkü güvenlik uzmanları, bir ağdan geçen her paketi ve bağlantıyı izleyemez.”
Şirketlerin %57’sinin güvenlik sorumluluğunu “sola” kaydırması ve geliştiricileri kodlarındaki güvenlik açıklarından daha fazla sorumlu hale getirmesiyle güvenlik, yazılım geliştirme hattında daha büyük bir rol üstlenmeye devam ediyor. Yine de, önemli sayıda geliştiricinin gecikmeler için güvenliği suçladığı ve yazılım güvenliği için sorumluluk dağılımının çok değişken olduğu, hala gidilecek bir yol var.
GitLab raporda, “Geliştiriciler ve operasyonlar güvenlik sahipliğinde daha büyük bir pay alırken, sec ekibinde bu o kadar kolay değil” dedi. “2020 ve 2021’de güvenlikten tamamen sorumlu olduklarını söyleyen güvenlik profesyonellerinin yüzdesi, herkesin sorumlu olduğunu söyleyenlerle kabaca aynıydı.”
