近日,云计算开源产业联盟发布了《中国DevOps现状调查报告(2021年)》,对2020至2021年度DevOps在中国落地实践的现状展开调查,并基于调研结果对未来发展趋势做出预判。调查报告重点分析了DevOps的应用现状、工具和技术选择、转型现状、存在的问题与挑战、未来投入趋势,以及企业对政策/资质的需求。
图:《中国DevOps现状调查报告(2021年)》封面
调查由中国信息通信研究院联合近40家企业共同发起,以信通院牵头编制的《研发运营一体化(DevOps)能力成熟度模型》系列标准为参考,受访对象覆盖互联网、科技、电信、金融、制造、教育、咨询与服务和零售等行业,共回收有效问卷1862份。同时,基于调查结果,结合行业专家的深度访谈与探讨,力争详实客观地反映企业对DevOps落地实践的需求,为行业发展提供真实可信的数据支撑。
调查结果显示,目前五成以上的中国企业DevOps落地实践成熟度已达到全面级及以上水平。根据DevOps标准,DevOps能力成熟度标准划分为5个级别,从实践的探索起步到熟练应用,依次为初始级、基础级、全面级、优秀级和卓越级(如下图)。在最近两年中,企业DevOps落地实践成熟度在全面级增长持续扩张,连续两年增长比例超过8%。
图:DevOps级别划分
随着DevOps应用日趋成熟,敏捷开发成为软件开发的主流模式。调查结果显示,目前中国已有八成以上的企业在不同程度上实践敏捷开发,超七成企业采用实体化敏捷团队,并以持续交付更多业务价值为发展方向。
图:敏捷实践现状分布
在安全管理方面,DevSecOps理念已被各行各业更广泛地接受,目前已有53%的企业尝试实践并引入了 DevSecOps。相较于上一年度,增长幅度近12%,这也反映出企业IT建设中安全意识与安全实践水平的大幅提升。
图:DevSecOps引入现状
同时,作为安全管理的重要支撑部分,安全工具百花齐放。除了长期被企业广泛应用的代码安全、Web安全、主机安全三大类工具仍涨势明显外,调查针对企业对安全工具的实际使用情况,新增收录了IAST、威胁建模、安全基线配置、NTA(网络流量分析技术) 、威胁情报、SOC/SIEM(安全运营中心/安全信息和事件管理)工具的使用率调查结果。其中,IAST作为DevSecOps实践框架下最需要被优先考虑的关键基础技术,未来市场发展空间广阔。
图: 安全工具使用现状——悬镜IAST使用率占比5.84%,同类工具中市场占有率第一
调查结果显示,悬镜灵脉IAST工具当前在同类工具中市场应用率排名第一,领先于其他同类产品。灵脉IAST是全球首个获得中国信通院《交互式应用程序安全测试工具能力要求》行业标准认证的IAST工具,也是目前国内唯一支持Java、PHP、Node.js、Python、.Net、Go等全部主流语言、且实现全场景支持的平台。
灵脉IAST工具在被广泛应用于金融、能源、泛互联网、IoT、云服务及汽车制造等不同行业的实践过程中,结合实际用户场景的践行效果不断思考,基于长期的实战经验与用户交流,总结出一系列的IAST落地重点考量事项,以期帮助企业提升IAST工具在DevSecOps建设落地中的使用率,为企业带来更多业务价值。
I AST 落地重点考量事项:
l 同时支持应用插桩和多种流量追踪技术,应对业务场景丰富、开发语言众多、部署环境复杂等场景;
l 支持敏感数据泄露风险监测,自动发现应用运行过程中的敏感数据处理行为,定位漏洞位置、提供解决方案;
l 支持自动化安装,协调CI/CD完成批量部署;
l 适配现代微服务架构,通用RPC、自研RPC框架;
l 支持配置热加载、性能异常熔断机制;
l 支持SCA第三方开源组件运行时监测分析;
l 支持API覆盖率检测,自动发现系统中的API接口,防止出现API孤链;
l 与研发体系深度融合(DevOps平台、Jenkins 、Jira、CAS等三方平台)。
版权声明:本文所引用调查报告数据和图表版权属于云计算开源产业联盟,凡转载、摘编或利用其它方式使用此类调查报告文字或者观点的,应注明“来源:云计算开源产业联盟”。