TOOLinux

Le journal du Libre

L’adoption des outils DevOps a bondi en 2021

mercredi 24 novembre 2021

Le DevOps a permis à 60 % des développeurs de publier du code 2 fois plus vite, selon une enquête menée auprès de près de 4.300 professionnels IT. Ce qu’il faut en retenir.

L’enquête mondiale GitLab DevSecOps montre "comment les rôles au sein des équipes de développement logiciel ont changé à mesure que les équipes DevOps gagnent en maturité".

Selon l’enquête 2021, la pandémie COVID-19 a entraîné l’adoption généralisée du télétravail, ce qui a incité les équipes à "adopter des technologies DevOps de pointe telles que Kubernetes, l’apprentissage automatique/intelligence artificielle (ML/AI) et le cloud computing". Il reste toutefois, souligne l’étude, des obstacles à franchir avant de parvenir au véritable DevSecOps.

« Partout dans le monde, les équipes ont réussi à simplifier les cycles de développement, avec des délais de publication plus courts que jamais, tout en s’adaptant au télétravail et en revoyant les priorités afin de répondre à l’énorme demande de l’an dernier. Nous allons certainement voir des améliorations dans l’exécution des tests car de plus en plus d’équipes adoptent les outils d’automatisation des éléments DevSecOps qui ralentissent continuellement les cycles. » - Eric Johnson, CTO chez GitLab

2020 - 2021 : les différences

Le rapport 2021 montre que les tests de logiciels et l’examen du code restent des points de friction, mais que la façon dont ces problèmes sont traités a radicalement changé.

75 % des répondants déclarent que leurs équipes DevOps utilisent ou prévoient d’utiliser le ML/AI pour les tests et l’examen du code, soit une hausse de 41 %. Cette large adoption de technologies de pointe indique un net tournant du secteur vers l’intégration de l’automatisation dans leur cycle de vie du développement logiciel.

Une majorité (55 %) des équipes d’exploitation déclare que les cycles de vie sont automatisés, soit en grande partie, soit entièrement. En 2020, par contre, seuls 8 % des équipes indiquaient une automatisation complète.

Les équipes d’exploitation ont modifié leurs priorités pour s’adapter au nouveau paysage logiciel façonné par les événements de 2020. 56 % des professionnels de l’exploitation notent désormais que leur priorité est la gestion des services de cloud (une augmentation par rapport à l’an dernier), ce qui reflète sans aucun doute la migration massive vers le cloud déclenchée par la pandémie.

De plus, les équipes d’exploitation déclarent consacrer plus de temps qu’en 2020 à la conformité, en ligne avec les nouvelles lois sur la conformité votées l’an dernier, comme le California Privacy Rights Act (CPRA). Faute d’adopter les nouvelles technologies pour simplifier les cycles de développement, les équipes d’exploitation auraient probablement eu beaucoup plus de mal à modifier leurs priorités pour répondre aux nouvelles demandes.

Pourquoi les tests restent problématiques

Dans l’industrie du logiciel, le succès dépend de la vitesse de sortie, et le DevSecOps est le moyen d’y parvenir. Cette année, 84 % des développeurs déclarent qu’ils publient du code plus rapidement que jamais. Cette accélération des publications est due à une plus vaste intégration d’outils tels que la gestion du code source, l’intégration continue et la livraison continue (CI/CD).

Près de 12 % des répondants indiquent que l’ajout d’une plateforme DevOps a accéléré le processus. Au total, 57 % des personnes interrogées notent que le code est publié deux fois plus vite, ce qui est un énorme progrès par rapport aux 35 % de l’an dernier, et 19 % déclarent que leur code est publié 10 fois plus vite.

Toutefois, même avec des délais de sortie plus courts, les tests sont toujours un point de friction pour les membres de DevOps. Ainsi, 42 % des répondants estiment qu’ils se font trop tard dans le processus et près du même pourcentage indique qu’il est difficile d’analyser, traiter et corriger les vulnérabilités.

Près de 37 % estiment que le suivi de l’état d’avancement des corrections de bugs était difficile et 33 % se disent insatisfaits de la priorisation des corrections.

Comme l’an dernier, ces résultats indiquent une approche réactive de la sécurité dans le processus de développement. Ils montrent également l’importance de l’intégration du DevSecOps dans les cycles de développement car les problèmes soulevés au niveau des tests, source de ralentissement, pourraient être détectés et traités plus facilement.

DevSecOps arrive à maturité, mais...

Plus 70 % des professionnels de la sécurité déclarent que leurs équipes ont migré les questions de sécurité plus tôt dans le développement, ce qu’ils appellent un « virage à gauche ». L’an dernier, 65 % d’entre eux avaient exprimé cette opinion.

D’après l’enquête, cette intensification du virage à gauche est due en partie au fait que les développeurs sont plus nombreux à effectuer des tests de sécurité des applications statiques et dynamiques. Cinquante-trois pour cent des développeurs déclarent effectuer des analyses de sécurité des applications statiques (SAST) (soit une augmentation de 13 % par rapport à l’année dernière) et 44 % disent effectuer des analyses de sécurité des applications dynamiques (DAST) (soit une augmentation de 17 % par rapport à l’année dernière).

Une étape majeure vers l’ajout du « Sec » dans DevSecOps. L’industrie y constate les avantages. Le rapport montre à quel point DevSecOps a progressé l’année dernière, puisque 72 % des professionnels de la sécurité déclarent que leur organisation a instauré des mesures de sécurité jugées « bonnes » ou « fortes ». Voilà un progrès extraordinaire par rapport à l’an dernier où 59 % avaient noté la même chose. La plus forte augmentation par rapport à l’an dernier figure dans la catégorie « forte » : en 2020, 19,95 % seulement des personnes interrogées estimaient que leur position en termes de sécurité était forte par comparaison à 33 % en 2021.

Au fur et à mesure que les équipes montrent des signes d’évolution vers le DevSecOps, l’enquête montre que les organisations hésitent encore lorsqu’il s’agit de déterminer qui est responsable de la sécurité. Près de 31 % des répondants indiquent qu’ils (security) sont entièrement responsables, mais près de 28 % déclarent que tout le monde est responsable. Cette réponse est semblable à celle de l’an dernier et souligne le besoin de clarté en cette matière.

- Le rapport complet