DevSecOps-Umfrage: Sichererer Code durch zufriedene Entwickler
DevSecOps-Praktiken sollen produktiver machen. Eine Umfrage veranschaulicht den Zusammenhang zwischen Code-Sicherheit und Befindlichkeit von Entwicklern.
(Bild: gpointstudio/Shutterstock.com)
- Silke Hahn
Zufriedene Entwickler schreiben sichereren Code und sind dabei messbar produktiver, verkündet eine Umfrage der Firma Sonatype zur DevSecOps-Praxis. Die siebte Ausgabe der jährlich erscheinenden Umfrage untersucht, was Entwickler freut und was sie ärgert – und wie es sich auf die Ergebnisse ihrer Arbeit auswirkt. Sie weist Trends auf im Bereich sicherer Programmierung von Apps und legt einen Fokus auf Entwicklerzufriedenheit.
Zentrales Ergebnis der Studie ist, dass erfahrene DevOps-Teams rund zweimal häufiger als unerfahrene Teams Sicherheitswerkzeuge in ihre Abläufe implementieren und die Sicherheitsprüfungen auch automatisieren.
Sicherheit liegt im DevOps-Trend
Kernergebnis ist, dass DevOps-Praktiken die Entwicklungsgeschwindigkeit messbar beschleunigen: Anders als im Vorjahr gibt inzwischen über die Hälfte der Befragten an, dass sie mindestens einmal pro Woche Code für die Produktion bereitstellen (55 Prozent im Jahr 2020 gegenüber 47 Prozent im Jahr 2019). Teams, die bei der Entwicklung DevOps-Verfahren anwenden, sollen laut Studie eher automatisierte Sicherheitstools in ihren Deployment-Lifecycle integrieren. Firewalls für Web Apps, Open Source Governance und Intrusion Detection sind derzeit die gefragtesten Tools.
Die Studie hat die Arbeitszufriedenheit von Teams erhoben und die Befragten in zwei Gruppen unterteilt: Teams, die die DevOps-Praxis bereits fest in ihre Arbeit integriert haben, und solche, die noch am Anfang der Umsetzung stehen. Sonatype stellt fest, dass Teams, die ausgereifte DevOps-Methoden anwenden, um den Faktor 1,6 zufriedener sind als Teams mit weniger Erfahrung. Die erfahreneren Teams investieren zum Beispiel mit höherer Wahrscheinlichkeit in Container-Sicherheit und in Sicherheitstests für die dynamische Analyse – die Wahrscheinlichkeit ist rund zweimal so hoch wie in der Vergleichsgruppe.
Bei der Arbeitszufriedenheit sticht heraus, dass Teams, die in modernen DevOps-Umgebungen arbeiten, ihren Arbeitgeber deutlich häufiger empfehlen (Faktor 1,6) und dass die Befragten ihre Arbeit laut Selbstauskunft häufiger erfolgreich bewältigen als die Vergleichsgruppe (1,3-mal häufiger).
Weiterbildung für sicheren Code
In Bezug auf Sicherheitsverletzungen seien erfahrene DevOps-Teams besser informiert: So berichten 28 Prozent der erfahrenen Gruppe, dass sie von Sicherheitslücken aus einer ihre Open-Source-Komponenten wissen, in der Vergleichsgruppe mit weniger ausgereiften DevOps-Praktiken waren es 19 Prozent. Ein weiteres Ergebnis der Studie ist, dass Befragte, die ihre Zufriedenheit als hoch und sehr hoch angaben, sich deutlich häufiger um Sicherheitsaspekte des Codes kümmerten (fast viermal häufiger) und die Open-Source-Richtlinien wohl auch strikter einhalten können (1,3-mal häufiger als weniger zufriedene Befragte). Da überrascht es wenig, dass diese Befragten auch angeben, mehr Freude an ihrer Arbeit zu empfinden und motivierter bei der Sache zu sein.
Eine engere Zusammenarbeit mit den Sicherheitsteams führt laut Studie ebenfalls zu erhöhter Zufriedenheit der Befragten, die sich laut Sonatype 3,8-mal weniger auf Gerüchte verließen, wenn es um Sicherheitsprobleme gehe. Ein weiterer Schlüssel zur Mitarbeiterzufriedenheit seien Weiterbildungen: Befragte, die vom Unternehmen Schulungen zu sicherem Programmieren erhalten, gaben im Vergleich fünfmal häufiger an, dass die Arbeit ihnen Freude bereite.
Hintergrund der Studie
Der DevSecOps Community Survey von 2020 wertet die Angaben von 5045 internationalen Software-Entwicklern aus und ist bereits die siebte Ausgabe. Er beruht auf einer Umfrage mit 34 Fragen an Entwicklerteams über ihre Einstellung und ihren Bezug zu DevOps-Methoden und deren Anwendungssicherheit.
Sonatype ist Anbieter einer Plattform namens Nexus zur Open-Source-Governance von IT-Projekten und unterstützt Firmen mit Technologie bei der Umsetzung von DevOps durch die Automatisierung ihrer Software Supply Chains. Hinter Nexus steht eine Machine-Learning Engine ("Nexus Intelligence"), die für die Kunden von Sonatype deren Open-Source-Komponenten analysiert. Durch Automatisierung sollen DevOps-Teams Probleme, die bei manuellen Abläufen in der Softwareentwicklung entstehen, minimieren und produktiver am Code arbeiten können, lautet der Ansatz. Für die Umfrage arbeitet Sonatype mit zahlreichen Software-, DevOps- und Security-Instituten zusammen.
Die vollständigen Ergebnisse der Studie können Interessierte hier einsehen. (sih)
