5e enquête GitLab DevSecOps - 60 % des développeurs publient 2 fois plus vite

Par:
fredericmazue

jeu, 06/05/2021 - 12:41

GitLab a publié les résultats de sa cinquième enquête annuelle DevSecOps, qui montre comment les rôles au sein des équipes de développement logiciel ont changé à mesure que les équipes DevOps gagnent en maturité. L’enquête menée auprès de 4 300 personnes du monde entier révèle que les équipes DevOps ont considérablement accéléré l’adoption des technologies leur permettant d’avancer plus rapidement vers DevSecOps, d’augmenter la vitesse de publication, et d’améliorer l’automatisation. 

« Cette année, l’enquête mondiale DevSecOps montre que 2020 a été un catalyseur de maturation pour DevOps, » a déclaré Eric Johnson, CTO chez GitLab. « Partout dans le monde, les équipes ont réussi à simplifier les cycles de développement, avec des délais de publication plus courts que jamais, tout en s’adaptant au télétravail et en revoyant les priorités afin de répondre à l’énorme demande de l’an dernier. Nous allons certainement voir des améliorations dans l’exécution des tests car de plus en plus d’équipes adoptent les outils d’automatisation des éléments DevSecOps qui ralentissent continuellement les cycles. »

Selon l’enquête 2021, la pandémie COVID-19 a entraîné l’adoption généralisée du télétravail, ce qui a incité les équipes à adopter des technologies DevOps de pointe telles que Kubernetes, l’apprentissage automatique/intelligence artificielle (ML/AI) et le cloud computing. Au cours de l’année dernière, le DevOps a mûri et s’est totalement imposé suite à ces adoptions de technologies; cependant, il reste des obstacles à franchir avant de parvenir au véritable DevSecOps.  

DevOps s’automatise et les équipes Ops revoient leurs priorités pour 2021

Comme l’an dernier, le rapport 2021 montre que les tests de logiciels et l’examen du code restent des points de friction, mais que la façon dont ces problèmes sont traités a radicalement changé.  Étonnamment, 75 % des répondants déclarent que leurs équipes DevOps utilisent ou prévoient d’utiliser le ML/AI pour les tests et l’examen du code, soit une hausse de 41 %. Cette large adoption de technologies de pointe indique un net tournant du secteur vers l’intégration de l’automatisation dans leur cycle de vie du développement logiciel. Une majorité (55 %) des équipes d’exploitation déclare que les cycles de vie sont automatisés, soit en grande partie, soit entièrement. En 2020, par contre, seuls 8 % des équipes indiquaient une automatisation complète. 

En intégrant l’automatisation et le ML/AI dans leurs cycles de développement, les membres d’équipes DevOps gagnent un temps précieux pour s’occuper d’autres priorités. Par exemple, les équipes d’exploitation ont modifié leurs priorités pour s’adapter au nouveau paysage logiciel façonné par les événements de 2020. 56 % des professionnels de l’exploitation notent désormais que leur priorité est la gestion des services de cloud (une augmentation par rapport à l’an dernier), ce qui reflète sans aucun doute la migration massive vers le cloud déclenchée par la pandémie. De plus, les équipes d’exploitation déclarent consacrer plus de temps qu’en 2020 à la conformité, en ligne avec les nouvelles lois sur la conformité votées l’an dernier, comme le California Privacy Rights Act (CPRA). Faute d’adopter les nouvelles technologies pour simplifier les cycles de développement, les équipes d’exploitation auraient probablement eu beaucoup plus de mal à modifier leurs priorités pour répondre aux nouvelles demandes. 

Les sorties sont plus rapides que jamais mais les tests restent problématiques 

Dans l’industrie du logiciel, le succès dépend de la vitesse de sortie, et le DevSecOps est le moyen d’y parvenir. Cette année, 84 % des développeurs déclarent qu’ils publient du code plus rapidement que jamais. Cette accélération des publications est due à une plus vaste intégration d’outils tels que la gestion du code source, l’intégration continue et la livraison continue (CI/CD). Près de 12 % des répondants indiquent que l’ajout d’une plateforme DevOps a accéléré le processus. Au total, 57 % des personnes interrogées notent que le code est publié deux fois plus vite, ce qui est un énorme progrès par rapport aux 35 % de l’an dernier, et 19 % déclarent que leur code est publié 10 fois plus vite. 

Toutefois, même avec des délais de sortie plus courts, les tests sont toujours un point de friction pour les membres de DevOps. Plus de 42 % des répondants estiment qu’ils se font trop tard dans le processus et près du même pourcentage indique qu’il est difficile d’analyser, traiter et corriger les vulnérabilités. Près de 37 % estiment que le suivi de l’état d’avancement des corrections de bugs était difficile et 33 % se disent insatisfaits de la priorisation des corrections. Comme l’an dernier, ces résultats indiquent une approche réactive de la sécurité dans le processus de développement. Ils montrent également l’importance de l’intégration du DevSecOps dans les cycles de développement car les problèmes soulevés au niveau des tests, source de ralentissement, pourraient être détectés et traités plus facilement. 

DevSecOps arrive à maturité mais l’appropriation de la sécurité reste un point sensible

Poursuivant la tendance indiquée dans le rapport DevSecOps 2020, les développeurs continuent à virer à gauche, assumant davantage de responsabilités dans les rôles traditionnellement confiés aux équipes d’exploitation et de sécurité. En 2021, plus de 70 % des professionnels de la sécurité déclarent que leurs équipes ont migré les questions de sécurité plus tôt dans le développement, ce qu’ils appellent un « virage à gauche ». L’an dernier, 65 % d’entre eux avaient exprimé cette opinion. D’après l’enquête, cette intensification du virage à gauche est due en partie au fait que les développeurs sont plus nombreux à effectuer des tests de sécurité des applications statiques et dynamiques. Cinquante-trois pour cent des développeurs déclarent effectuer des analyses de sécurité des applications statiques (SAST) (soit une augmentation de 13 % par rapport à l’année dernière) et 44 % disent effectuer des analyses de sécurité des applications dynamiques (DAST) (soit une augmentation de 17 % par rapport à l’année dernière). 

De manière générale, il s’agit d’une étape majeure vers l’ajout du « Sec » dans DevSecOps, et l’industrie y constate les avantages. En fait, le rapport montre à quel point DevSecOps a progressé l’année dernière, puisque 72 % des professionnels de la sécurité déclarent que leur organisation a instauré des mesures de sécurité jugées « bonnes » ou « fortes ». Voilà un progrès extraordinaire par rapport à l’an dernier où 59 % avaient noté la même chose. La plus forte augmentation par rapport à l’an dernier figure dans la catégorie « forte » : en 2020, 19,95 % seulement des personnes interrogées estimaient que leur position en termes de sécurité était forte par comparaison à 33 % en 2021. 

Au fur et à mesure que les équipes montrent des signes d’évolution vers le DevSecOps, l’enquête montre que les organisations hésitent encore lorsqu’il s’agit de déterminer qui est responsable de la sécurité. Près de 31 % des répondants indiquent qu’ils (security) sont entièrement responsables, mais près de 28 % déclarent que tout le monde est responsable. Cette réponse est semblable à celle de l’an dernier et souligne le besoin de clarté en cette matière. 

« Même si le secteur continue à intégrer la sécurité dans le développement, et si les organisations commencent à améliorer la sécurité partout, notre enquête montre qu’une délimitation plus claire des responsabilités et l’adoption de nouveaux outils sont requises pour orienter totalement la sécurité vers la gauche, » déclare Johnathan Hunt, vice-président sécurité chez GitLab. « Dans l’avenir, nous espérons voir les équipes de sécurité trouver de nouvelles manières de définir des attentes claires pour les autres membres de leur organisation et continuer à adopter des technologies innovantes pour l’analyse et les révisions de code; cela aura pour effet d’accélérer les cycles de développement et d’améliorer leur qualité. »

Bien que la mise en œuvre de pratiques DevSecOps a mieux progressé cette année que les années précédentes, il reste du travail à faire en termes d’organisation et de coordination des responsabilités entre les responsables de la sécurité, les développeurs et les équipes d’exploitation. Pour lire le rapport complet, cliquez ici.

Méthodologie

GitLab a interrogé plus de 4 294 professionnels IT du monde entier entre janvier et mars 2021. La marge d’erreur est de 1 % (sur la base de 27 millions de professionnels IT et un niveau de confiance de 95 %).