写点什么

谷歌发布《2022 年 DevOps 促进状态报告》:深入研究安全问题

  • 2022-10-25
    北京
  • 本文字数:2565 字

    阅读完需:约 8 分钟

谷歌发布《2022 年 DevOps 促进状态报告》:深入研究安全问题

2021 年,由于数据泄露,超过 220 亿条记录被曝光,数家大型公司成为受害者。在这种攻击和其他恶意攻击之间,安全问题仍然是企业的头等大事,因为他们努力保持客户数据的安全和业务的正常运行。


有鉴于此,谷歌云的 DevOps 研究和评估(DevOps Research and Assessment,DORA)团队决定在 9 月 29 日发布的《2022 年 DevOps 促进状态报告》(2022 Accelerate State of DevOps Report)中重点关注安全问题。


在过去的八年里,全球共有超过 33000 名专业人士参加了《DevOps 促进状态》调查,使其成为同类研究中规模最大、持续时间最长的。 每年的《DevOps 促进状态报告》都提供了数据驱动的行业洞察力,研究了推动软件交付的能力和实践,以及运营和组织业绩。


确保软件供应链的安全


为了分析安全和 DevOps 之间的关系,我们探讨了软件供应链安全的话题,该调查在前几年只是轻描淡写地提到了这一话题。为此,我们使用了安全工件的供应链级别Supply-chain Levels for Secure Artifacts,SLSA)框架,以及 NIST 的安全软件开发框架Secure Software Development Framework,SSDF)。这两个框架使我们能够探索影响组织如何实施和思考软件安全实践的技术和非技术方面。


总的来说,我们发现,目前正在兴起的安全实践得到了普遍的采纳,而且大多数受访者至少部分采用了我们询问的每项实践。在 SLSA 和 NIST SSDF 倡导的所有实践中,使用应用级安全扫描作为生产发布的持续集成/持续交付(CI/CD)系统的一部分是最常见的实践,63% 的受访者表示这是“非常”或“完全”确定的。保存代码历史和使用构建脚本也是高度成熟的做法,而签署元数据和要求两人审查程序则有最大的增长空间。



我们发现了一个让人吃惊的事实,那就是组织在软件安全实践的最大预测因素是文化,而非技术;


我们发现一个令人惊讶的现象是,一个组织的软件安全实践的最大预测因素是文化,而不是技术:高信任、低责备的文化,就像 Westrum 所定义的那样,以业绩为导向,比低信任、高责备的文化注重权力或规则,明显更倾向于新兴的安全实践。此外,调查结果还显示,那些致力于构建安全实践的团队降低了开发者的倦怠,而且更有可能将自己的团队推荐给别人。为此,有数据表明,组织的文化和现代开发流程,例如持续集成,是组织软件安全的最大推动力,也是那些想要改善安全状况的组织的最好的出发点。


2022 年还有什么新鲜事?


虽然我们在今年将重点放在了安全方面,但这并不妨碍我们在软件的交付和运营业绩上进行研究。我们将 DevOps 团队归类为四大主要指标:部署频率、变更准备时间、平均恢复时间、变更失败率,还有我们去年引入的第五项指标——可靠性。


软件交付业绩


根据以上五项指标,受访者被分成三个群组:高、中、低。与前几年不同的是,目前尚无存在“精英”群组的迹象。说到软件交付业绩,今年的“高”群组是由去年的“高”和“精英”两个群组混合而成。



从下表的百分比可以看出,“高”群组是四年来的最低水平,而“低”群组从 2021 年的 7% 大幅上升到 2022 年的 19%!“中”群组则增加到 69%。也就是说,如果你将今年的低、中、高三个群组与去年的群组进行对比,你会看到整体上,软件的交付业绩已经开始转向更高的水平。今年的“高”群组表现更好——他们的业绩相当于去年“高”和“精英”两个群组的混合。“低”群组的表现也优于去年——今年的“低”群组是由去年的“低”和“中”两个群组混合而成。


我们打算做更深入的研究,以便更好地了解这个变化,但是现在,我们假定,持续的新冠肺炎疫情可能会妨碍团队分享知识、协作和创新,从而使“高”群组的数量下降,“低”群组的数量增多。



运营业绩


谈到 DevOps,软件交付性能并不是全部——它也可以对组织的整体运营业绩做出贡献。为了进一步的研究,我们将五项指标所代表的三个类别进行了聚类分析:吞吐量(代码变更的准备时间和部署频率的综合)、稳定性(恢复服务的时间和变更失败率的综合)和运营业绩(可靠性)。



通过我们的数据分析,发现了四种不同类型的 DevOps 组织;在这些群组实践和技术能力方面存在显著差异,所以我们对其进行了更多的划分:


  • 起步:这个群组在我们的任何维度上都表现得既不出色,但也不差。这个群组可能处于产品、功能或服务发展的早期阶段。他们也许不会把注意力放在可靠性上,而是集中在获取用户的反馈、理解他们的产品是否符合市场,还有更广泛的探索。

  • 上升:这个群组在所有特征上都表现良好:高可靠性、高稳定性、高吞吐量。而在受访者中,仅有 17% 有这种上升状态。

  • 滞涨:这个群组的受访者并不频繁地进行部署,但是一旦部署起来,他们就有可能获得成功。超过三分之一的回复属于这一群组,使其成为我们样本中最具代表性的。这种模式很可能是典型的(尽管远非唯一的)团队,他们正在逐步改进,但他们和他们的客户对目前的应用或产品的现状还是比较满意的。

  • 衰退:最后,这个群组看起来像一个团队,他们正在开发一个对他们和他们的客户来说依然有价值的服务或应用程序,但不再积极开发。


你是“上升”群组中的一员吗?虽然之前的受访者遵循这个指导来帮助他们达到“精英”地位,但那些致力于进入“上升”群组的团队应该将精力集中在松散耦合的架构、CI/CD、版本控制,以及在工作环境的灵活性。一定要看看我们关于技术能力的文章,其中有关于这些能力以及实施这些能力的细节。


向我们展示你如何使用 DORA


DevOps 状态报告是一个让你了解团队能够提高 DevOps 业绩的好地方,但是也有助于观察一下其他组织怎样利用这份报告来对整个组织产生有意义的影响。去年,我们推出了首届 Google Cloud DevOps 大奖,今年我们有幸与大家分享 DevOps 大奖的电子书,其中包括去年获奖公司的 13 个案例研究。从德勤(Deloitte)、劳氏(Lowe's)和维珍传媒(Virgin Media)等公司那里了解到他们如何在其组织中成功实施 DORA 实践。一定要申请 2022 年 DevOps 大奖来分享你组织的转型故事!


感谢所有参与我们 2022 年调查的人。我们希望《DevOps 促进状态报告》能够帮助各种规模、行业和地区的组织提高他们的 DevOps 能力,我们也期待着听到你们的想法和反馈。


作者介绍:


Derek DeBellis、Claire Peters,均为 Google CLoud DORA 研究主管。


原文链接https://cloud.google.com/blog/products/devops-sre/dora-2022-accelerate-state-of-devops-report-now-out


相关阅读


DevOps 在施耐德:众人参与其中的变革之旅

2022-10-25 10:167867

评论

发布
暂无评论
发现更多内容

训练营第二周作业 2

仲夏

C语言与C++学习路线

C语言与CPP编程

c++ 编程语言 C语言

架构师训练营 - 命题作业 - 第二周

徐时良

训练营第二周作业 1

仲夏

数据结构之堆栈

C语言与CPP编程

c++ 数据结构 堆栈 C语言 数据结构与算法

华为18级工程师十年之作,整整3625页互联网大厂面试题合集

学习 程序员 面试 架构师技能

架构师训练营第 1 期第二周课后练习题

郑凯元

极客大学架构师训练营

第二周总结

fmouse

极客大学架构师训练营

【第二周】课后作业

云龙

极客大学架构师训练营

依赖倒置原则和接口隔离原则

garlic

极客大学架构师训练营

架构师训练营第二周总结

月殇

极客大学架构师训练营

Serverless 的收益与挑战 | 2020年度状态报告

donghui

Serverless

架构师训练营 1 期第 2 周:框架设计

Wee权

第二周作业

fmouse

极客大学架构师训练营

面向对象设计原则及框架案例

garlic

极客大学架构师训练营

架构师训练营第二次作业

月殇

极客大学架构师训练营

Week 2 命题作业及总结

阿泰

第 2 周 框架设计 腐败的代码

Pyr0man1ac

第二周总结

赵孔磊

用户故事信息过多或过少带来的问题

Bruce Talk

敏捷 Agile 用户故事 UserStory

【第二周】框架设计

云龙

极客大学架构师训练营

极客时间架构 1 期:第 2 周框架设计 - 命题作业

Null

极客大学 - 架构师训练营第一期 - 第二周作业

Black Eyed Peter

极客大学架构师训练营

作业一

泡泡

作业二

泡泡

架构师训练营 -week02- 总结

大刘

极客大学架构师训练营

架构师训练营第二周作业

赵孔磊

架構師訓練營 week2 作業

ilake

极客大学架构师训练营

极客时间架构1期:第2周框架设计-学习总结

Null

数据结构之线性表

C语言与CPP编程

c++ 数据结构 C语言 线性表 数据结构与算法

学习总结1

Wee权

谷歌发布《2022 年 DevOps 促进状态报告》:深入研究安全问题_架构_Google Cloud_InfoQ精选文章