近日,雲計算開源産業聯盟釋出了《中國DevOps現狀調查報告(2021年)》,對2020至2021年度DevOps在中國落地實踐的現狀展開調查,并基于調研結果對未來發展趨勢做出預判。調查報告重點分析了DevOps的應用現狀、工具和技術選擇、轉型現狀、存在的問題與挑戰、未來投入趨勢,以及企業對政策/資質的需求。
圖:《中國DevOps現狀調查報告(2021年)》封面
調查由中國資訊通信研究院聯合近40家企業共同發起,以信通院牽頭編制的《研發營運一體化(DevOps)能力成熟度模型》系列标準為參考,受訪對象覆寫網際網路、科技、電信、金融、制造、教育、咨詢與服務和零售等行業,共回收有效問卷1862份。同時,基于調查結果,結合行業專家的深度訪談與探讨,力争詳實客觀地反映企業對DevOps落地實踐的需求,為行業發展提供真實可信的資料支撐。
調查結果顯示,目前五成以上的中國企業DevOps落地實踐成熟度已達到全面級及以上水準。根據DevOps标準,DevOps能力成熟度标準劃分為5個級别,從實踐的探索起步到熟練應用,依次為初始級、基礎級、全面級、優秀級和卓越級(如下圖)。在最近兩年中,企業DevOps落地實踐成熟度在全面級增長持續擴張,連續兩年增長比例超過8%。
圖:DevOps級别劃分
随着DevOps應用日趨成熟,靈活開發成為軟體開發的主流模式。調查結果顯示,目前中國已有八成以上的企業在不同程度上實踐靈活開發,超七成企業采用實體化靈活團隊,并以持續傳遞更多業務價值為發展方向。
圖:靈活實踐現狀分布
在安全管理方面,DevSecOps理念已被各行各業更廣泛地接受,目前已有53%的企業嘗試實踐并引入了 DevSecOps。相較于上一年度,增長幅度近12%,這也反映出企業IT建設中安全意識與安全實踐水準的大幅提升。
圖:DevSecOps引入現狀
同時,作為安全管理的重要支撐部分,安全工具百花齊放。除了長期被企業廣泛應用的代碼安全、Web安全、主機安全三大類工具仍漲勢明顯外,調查針對企業對安全工具的實際使用情況,新增收錄了IAST、威脅模組化、安全基線配置、NTA(網絡流量分析技術) 、威脅情報、SOC/SIEM(安全營運中心/安全資訊和事件管理)工具的使用率調查結果。其中,IAST作為DevSecOps實踐架構下最需要被優先考慮的關鍵基礎技術,未來市場發展空間廣闊。
圖: 安全工具使用現狀——懸鏡IAST使用率占比5.84%,同類工具中市場占有率第一
調查結果顯示,懸鏡靈脈IAST工具目前在同類工具中市場應用率排名第一,領先于其他同類産品。靈脈IAST是全球首個獲得中國信通院《互動式應用程式安全測試工具能力要求》行業标準認證的IAST工具,也是目前國内唯一支援Java、PHP、Node.js、Python、.Net、Go等全部主流語言、且實作全場景支援的平台。
靈脈IAST工具在被廣泛應用于金融、能源、泛網際網路、IoT、雲服務及汽車制造等不同行業的實踐過程中,結合實際使用者場景的踐行效果不斷思考,基于長期的實戰經驗與使用者交流,總結出一系列的IAST落地重點考量事項,以期幫助企業提升IAST工具在DevSecOps建設落地中的使用率,為企業帶來更多業務價值。
IAST落地重點考量事項:
l 同時支援應用插樁和多種流量追蹤技術,應對業務場景豐富、開發語言衆多、部署環境複雜等場景;
l 支援敏感資料洩露風險監測,自動發現應用運作過程中的敏感資料處理行為,定位漏洞位置、提供解決方案;
l 支援自動化安裝,協調CI/CD完成批量部署;
l 适配現代微服務架構,通用RPC、自研RPC架構;
l 支援配置熱加載、性能異常熔斷機制;
l 支援SCA第三方開源元件運作時監測分析;
l 支援API覆寫率檢測,自動發現系統中的API接口,防止出現API孤鍊;