Trend Micro zaprezentował wyniki niedawno przeprowadzonego badania nt. funkcjonowania modelu DevOps w firmach. Zdaniem większości uczestniczących w niej szefów działów IT mimo korzyści, które niesie ze sobą wdrożenie kultury organizacyjnej DevOps, przedsięwzięcie takie może zakończyć się sukcesem jedynie wówczas, gdy komunikacja między zespołami ds. bezpieczeństwa informatycznego i zespołami programistów znacznie się poprawi.
W ankiecie przeprowadzonej wspólnie z niezależną firmą analityczną Vanson Bourne badano opinie osób odpowiedzialnych za podejmowanie decyzji dotyczących wdrażania infrastruktury DevOps. Wśród 1310 uczestników z całego świata byli zarówno przedstawiciele dużych korporacji, jak i małych i średnich przedsiębiorstw. Firmy te znajdują się w różnych fazach wdrożenia podejścia DevOps. Podejmowane przez nie działania obejmują integrację zespołów oraz reorganizację metod tworzenia aplikacji, eksploatację infrastruktury informatycznej i obsługi zabezpieczeń, a ich celem jest skrócenie cyklu tworzenia oprogramowania i zwiększenie jego bezpieczeństwa.
Zespoły operacyjne i ds. bezpieczeństwa muszą współpracować
Zdaniem trzech czwartych respondentów (74%) inicjatywy związane z integracją zespołów operacyjnych i ds. bezpieczeństwa IT w ubiegłym roku zyskały na znaczeniu w ich przedsiębiorstwach, a odsetek osób wskazujących konieczność usprawnienia komunikacji w dziale informatyki jest jeszcze większy.
Około 89% ankietowanych stwierdziło, że zespoły programistów i zespoły ds. bezpieczeństwa muszą ze sobą ściślej współpracować, zaś 77% zasugerowało konieczność poprawy komunikacji także z zespołami operacyjnymi. Jedna trzecia respondentów (34%) uważa, że odseparowanie tych działów utrudnia wypracowanie kultury organizacyjnej DevOps w przedsiębiorstwie. Historia rozwoju procesów tworzenia oprogramowania pokazuje, że największe i najlepsze udoskonalenia nigdy nie są realizowane szybko, a dzieje się tak dlatego, że ich najistotniejszy element, a mianowicie ludzie, mają utrwalone wzorce zachowania i uwarunkowania kulturowe, które wymagają czasu na zaadaptowanie się do zmian.
Respondenci wskazali najlepsze sposoby wprowadzenia zmiany kulturowej: dążenie do ściślejszej integracji zespołów (61%), określenie wspólnych celów (58%) i wspólna realizacja zadań szkoleniowych przez zespoły (50%). Jednak ponad 78% decydentów uważa, że w tych obszarach niezbędna jest poprawa.
Tylko jedna trzecia (33%) uczestników ankiety twierdzi, że za wdrożenie DevOps wspólnie odpowiadają zespoły programistów i zespoły operacyjne, co stanowi kolejne potwierdzenie problemów w komunikacji między zespołami. Wydaje się, że każdy z tych zespołów poczuwa się do odpowiedzialności za zarządzanie takimi projektami.
DevSecOps – odnaleziony Sec
Mimo entuzjastycznego podejścia do DevOps — 81% przedsiębiorstw już wdrożyło taką metodykę lub prowadzi bieżące projekty — w przypadku niemal połowy firm (46%) strategia DevOps została zrealizowana jedynie w części. Ankietowani szefowie działów informatyki stwierdzili, że zwiększenie bezpieczeństwa informatycznego, czyli przejście do modelu DevSecOps jest najbardziej priorytetowym czynnikiem w trakcie tego procesu (wskazało go 46% respondentów). Przebieg projektu w organizacji DevSecOps nie odbiega od zwykłego projektu zarządzanego przy użyciu metodyk zwinnych (ang. Agile). Różnica polega na zaangażowaniu zespołu bezpieczeństwa w prace projektowe na wszystkich etapach. Dzięki włączeniu działu bezpieczeństwa dużo szybciej wykrywa się luki bezpieczeństwa, a co za tym idzie koszt ich naprawy znacznie się obniża.
Niezależnie od etapu transformacji, na jakim znajduje się konkretne przedsiębiorstwo, istnieją na rynku nowe narzędzia, które pozwalają uwzględnić kwestie bezpieczeństwa w procesie wytwarzania oprogramowania oraz zautomatyzować i przyspieszyć wdrażanie zabezpieczeń, a jednocześnie ograniczyć ryzyko i zapewnić zgodność z przepisami.
Więcej informacji na temat metodyki i rozwiązań firmy Trend Micro w obszarze bezpieczeństwa środowisk DevOps można znaleźć na stronie https://www.trendmicro.com/pl_pl/business/products/hybrid-cloud/development-operations.html