谷歌 2022 年 DevOps 状态报告：对于软件安全，团队文化比技术更重要丨SmartIDE

来源: OSCHINA

原文地址：

https://www.oschina.net/news/213043/dora-2022-accelerate-state-of-devops-report

2021 年有超过 220 亿条记录因数据泄露而被曝光，一些大型公司因此受到损害，安全问题仍是企业的头等大事。鉴于此，谷歌的 DORA（DevOps 研究和评估）团队发布了一份 2022 Accelerate State of DevOps Report，重点关注安全性。此次报告基于对 1350 名专业人员的调查结果，其中 68% 从事开发、工程或 IT 运营和基础设施工作，涵盖一些大型（10,000 多名员工）和小型（20-99 名员工）组织。

为了分析安全与 DevOps 之间的关系，报告探讨了软件供应链安全这一主题。研究人员称，在没有 CI/CD 的情况下，采用 SLSA（软件工件供应链）框架和 SSDF（安全软件开发框架）等最佳实践是具有挑战性的。“如果没有这个关键的基础架构，组织就很难确保针对他们创建的软件工件运行一组一致的 scanners、linter 和 tests”。

数据显示，在 SLSA 和 NIST SSDF 推广的所有实践中，使用应用程序级安全扫描作为生产发布的 CI/CD 系统的一部分是最常见的做法，63% 的受访者表示这是 “非常” 或 “完全” 成立的。其次是 History preserved 和 Build script，Metadata signed 和 two-person review 则有最大的发展空间。

另一个关键发现是，软件安全与协作文化相关联。“我们发现，一个组织的应用程序开发安全实践的最大预测因素是文化，而不是技术：注重绩效的高信任、低责备的文化比注重权力或规则的低信任、高责备的文化对新兴安全实践的采用高于平均水平的可能性高 1.6 倍。”

报告还关注了软件交付和运营绩效。其使用四个关键指标对 DevOps 团队进行了分类：部署频率、变更前置时间、平均恢复时间和变更失败率，以及他们去年引入的第五个指标，即可靠性。 从这五个指标来看，最高分是每天交付多次部署，将变更从代码部署到生产中的时间不超过一周，一天内恢复服务，变更失败率不超过 15%。

报告称，总体而言今年的表现有所下降。与去年的显着区别在于，今年没有任何突出的优异表现。表现不佳的企业也有所增加，从 2021 年的 7% 增加到今年的 19%。他们推测，大流行及其后遗症阻碍了创新和知识共享，从而导致高表现者和表现不佳者的数量增加；但该结论并没有实际的数据支持。

此外，云计算的使用量持续增长。公共云的使用率为 76%，高于 2021 年的 56%。只有 10.5% 的人表示根本没有使用云（包括私有云）。“使用云计算的受访者在组织绩效目标上超额完成的可能性增加了 14%”。超过 50% 的受访者使用多个云供应商，而这一群体 "表现出了 1.4 倍的组织绩效"。

本周二晚8点30分，SmartMeetup S01E06精彩继续，

本期主题：模板化IDE，扫码预约直播，千万别错过