翻译：360代码卫士

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

传送门：【DevSecOps系列文章一】DevSecOps：安全正当时

                【DevSecOps系列文章二】将安全整合到DevOps中的10条建议

Sonatype最近发布的2017年DevSecOps社区调查结果探讨了开发团队、DevOps和安全之间的关系。

3月21日，推出Nexus库的公司Sonatype发布了2017年DevSecOps社区调查结果。逾2292名技术专业人员回答了关于DevOps成熟度、安全在应用程序生命周期中的重要性和开源软件的看法。这些受访人员的构成比例是：开发人员21%、DevOps 22%、架构师14%、团队主管12%，其他是建构管理员、IT运营、AppSec专业人员、IT管理员等等。DZone和Sonatype公司促成了调查结果的实现，现在我们分享一些有趣的结果。如需查看完整调查结果，可点击此链接。

DevOps成熟度

在DevOps实践方面，26%的专业人员认为他们的组织机构遵循高成熟度的DevOps实践；41%的人员认为自己的团队正在尝试改进DevOps进程；33%的人员表示自己公司的DevOps实践不成熟。

安全

应用程序安全事件的比例从2014年（Sonatype 2014年调查结果）的14%增长到今年的28%。不管攻击次数是否增长，或者监控软件是否已得到改进以便于快速发现安全事件，或者以上两个因素均已实现，三年来的这种增长率都令人不安。另外一个有意思的数字是开发人员和AppSec专业人员的比例是100:1。

首席安全官：Nagatha Christie

应用程序安全专业人员通常在开发人员圈子内名声不佳，即使是践行DevOps的人也是如此。54%的受访者认为安全专业人员是“只说漏洞但无法解决漏洞的烦人精”。58%的受访者认为安全是Devops敏捷性的抑制剂。在DevOps进程方面，相较于位于成熟环境中的28%的受访者而言，位于进程不成熟环境中的47%的受访者认为安全阻碍进展。

这并不是说开发人员对应用程序安全的看法一定是负面的。调查结果显示，50%的开发人员意识到了安全的重要性，但他们认为没有时间正确地确保应用程序的安全。在所有的受访者中，仅有39%的人员在持续整合和持续交付进程中将安全测试自动化，而在DveOps实践成熟度高的组织机构中，有58%的受访者将安全测试自动化。

发现更多

在DevSecOps被当作真正可执行的最佳实践之前，看似开发人员对安全的看法变化还有很长一段路要走，它并非像“乌托邦式希望”这种时髦词一样随口而出。目前开发人员能做的一件事就是了解查找什么漏洞并且如何将安全测试和安全整合到SDLC中。如需了解更多关于应用程序安全的信息，访问我们新的安全空间或者阅读《应用程序和数据安全指南》。如需查看所有的调查结果，可从此处下载完整报告。

原文地址：https://dzone.com/articles/2017-devsecops-community-survey-how-developers-see

传送门：【DevSecOps系列文章一】DevSecOps：安全正当时

                【DevSecOps系列文章二】将安全整合到DevOps中的10条建议