SANS Institute, Anbieter von Cybersicherheitsschulungen und -zertifizierungen, stellt die wichtigsten Ergebnisse der Umfrage zu DevSecOps 2022 vor. Sie wirft einen Blick auf die aktuelle Situation der DevSecOps-Landschaft.
Dazu zählt die Lage des Anwendungshosting in der Cloud, der verwendeten Methoden zur Sicherung mehrerer Cloud-Umgebungen in großem Umfang, der Container-Sicherheit und der Automatisierung von Compliance-Funktionen. Darüber hinaus zeigt die auf Basis der Antworten erstellte Studie die eingesetzten DevSecOps-Praktiken und -Tools sowie Herausforderungen und Erfolgsfaktoren vor.
Die wichtigsten Erkenntnisse aus der Umfrage in der Zusammenfassung:
- Nicht alle Anwendungen laufen in der Cloud. Im Jahr 2022 haben zwar in Summe mehr Unternehmen On-Premises Anwendungen gehostet, aber insgesamt ist dies ein geringerer Prozentanteil der gesamten Anwendungen.
- Cloud-gehostete VMs werden immer noch gegenüber Containern und serverlosen Funktionen bevorzugt.
- Es gibt einen klaren Trend weg von der Nutzung eines einzigen Cloud Hosting-Anbieters um den Großteil der Workloads eines Unternehmens auszuführen.
- Obwohl die Mehrheit der Befragten Cloud Security Posture Management (CSPM) zum Schutz nutzt, setzen es aber nur 17 Prozent in mindestens drei Viertel oder mehr ihrer AWS-Accounts, Azure-Abonnements oder GCP-Projekte ein.
- Die Nutzung von Docker-Containern ist im Vergleich zum Vorjahr um 20 Prozentpunkte gestiegen, aber wenn Container in der Cloud verwendet werden, werden Containerdienste bevorzugt, die CSPM verwenden.
- Obwohl die Nutzung von Continuous Integration/Continuous Deployment (CI/CD)-Tools, die CSPM einsetzen, in den letzten beiden Umfragen stabil geblieben ist, gab es einen deutlichen Anstieg bei der Nutzung von Open-Source-CI/CD-Tools auf Kosten von kommerziellen CI/CD-Tools von Drittanbietern.
- Unveränderliche Infrastrukturbereitstellung, Blameless Retrospectives und Chaos Engineering sind nach wie vor die am wenigsten genutzten Praktiken innerhalb von DevSecOps.
Der Einsatz von Application Security Orchestration and Correlation (ASOC)-Tools wird in den kommenden Jahren wahrscheinlich zunehmen, und die Einführung von KI, maschinellem Lernen und anderen Data-Science-Methoden und -Tools wird zur Verbesserung von DevSecOps beitragen. Gesponsert wurde die Umfrage von den Herstellern deepfactor, ForAllSecure, SUSE, synopsis, tenable, Uptycs und Veracode. Insgesamt haben weltweit 341 DevSecOps-Spezialisten teilgenommen.
sans.org