Tavaly óta csökkent a "szoftverüzemeltetési teljesítmény", nőtt a felhőhasználat, és egyre többen látják, hogy a CI/CD (Continuous Integration/Continuous Delivery) kritikus fontosságú a szoftverbiztonság szempontjából, a biztonságos szoftverek fejlesztéséhez pedig fontosabb az erős kollaborációs kultúra, mint a technikai feltételek. Ezek a főbb megállapításai a Google DORA (DevOps Research and Assessment) csapata által készített idei State of DevOps jelentésnek.

A 2014 óta évente kiadott jelentésben idén 1350 szakembert kérdeztek meg, akinek a többsége (68 százalék) fejlesztéssel, mérnöki munkával vagy IT-üzemeltetéssel és infrastruktúrával foglalkozik. A válaszok jól reprezentálják a több mint tízezer embert foglalkoztató nagyvállalatok és a kisebb szervezetek  (20-99 alkalmazott) problémáját egyaránt.

A kutatás évről évre három területre koncentrál: a szoftverszállítási teljesítményre, az operatív teljesítményre és a szervezeti teljesítményre. A szoftverszállítási teljesítményt olyan szempontokkal vizsgálják, mint a telepítési gyakoriság, a változtatások átfutási ideje, a szolgáltatás helyreállításának ideje egy incidens után, valamint a változtatási hibaarány. A legmagasabb pontszámot az kapja, aki naponta többször telepít, a kódmódosítás legkésőbb egy héten belül eljut az éles rendszerig, egy helyreállítás nem vesz igénybe egy napnál hosszabb időt, és a módosítások hibaarány maximum 15 százalék.

Általában romlott a helyzet

Összességében romlott a helyzet tavalyhoz képest. Miközben egyetlen olyan vállalat sem volt, amelynél sikerült volna minden paraméterben maximális pontszámot elérni, a gyengén teljesítők aránya a 2021-es 7 százalékról idén 19 százalékra nőtt (lásd a lenti ábrát). A kutatók csak találgatják az okokat, elsősorban arra gyanakszanak, hogy a világjárvány és annak utóhatásai lassították az innovációt, és akadályozták a tudásmegosztást.
 

(kattintson a képre a nagyobb mérethez. Forrás: State of Devops 2022)

Van viszont olyan terület, ahol látványos volt az előrelépés: a válaszadók 76 százaléka használ nyilvános felhőt (tavaly még csak 56 százalék), és mindössze 10,5 százalék nem használ még privát felhőt sem. A multicloudra is nyitottabbak lettek a cégek: több mint 50 százalékuk több felhőszolgáltatót is használ – érdekes módon ezek a cégek lényegesen jobb szervezetiteljesítmény-mutatókkal bírnak, mint azok, amelyek nem vagy legfeljebb egy szolgáltatótól vesznek felhőt. Az más kérdés, hogy a multicloud egyelőre negatívan hat a szoftverszállításra.

A biztonság továbbra is kulcskérdés

A biztonság nem veszített fontosságából, de idén a hangsúly az ellátási lánc biztonságára helyeződött. A kutatók megjegyzik, hogy a legjobb gyakorlatok – például az SLSA (Supply Chain for Software Artifacts) keretrendszer vagy az SSDF (Secure Software Development Framework) – bevezetése CI/CD hiányában komoly problémák forrása lehet. Utóbbi nélkül ugyanis nehéz biztosítani, hogy az egész szervezet a szkennerek, statikus kódelemző eszközök és tesztek konzisztens készletét használja a belsőleg létrehozott szoftvertermékekhez.

De talán ennél is érdekesebb a kutatásnak az a megállapítása, hogy a szoftverbiztonság nem technikai kérdés, hanem a kollaborációs kultúrához kapcsolódik. Az az egyik legjobb indikátora egy szervezet alkalmazásfejlesztés-biztonsági gyakorlatának, hogy milyen a bizalmi szint. Ha magas, és nem a hibáztatásra épül, ott sokkal jobban beleépültek a biztonsági gyakorlatok a munkafolyamatokba, mint azokon a helyeken, ahol a biztonságot alacsony bizalommal, merev szabályokkal, és a vélt-valós felelősök hibáztatásával próbálják növelni.

Ha tehát egy szervezet javítani szeretne fejlesztési folyamatain, mindenekelőtt a belső kultúráját kell rendbetennie. Ha ez sikerül, a biztonság is javulni fog.