Dans son dernier Global Developer Report pour lequel 4 071 personnes ont été interrogées (développeurs, responsables métiers et sécurité), la plateforme d'hébergement de code Gitlab s'est penchée sur les relations des développeurs avec les métiers et les équipes sécurité dans le cadre de la mise en place par les entreprises d'une stratégie DevOps et/ou DevSecOps.

Parmi les méthodes de développement les plus répandues parmi les répondants, arrive en première place Scrum (54%), loin devant Kanban (37%) et DevOps (36%), suivi par Waterfall (17%). En termes de qualification, 33% des développeurs évaluent comme « honnêtes » les pratiques DevOps dans leur organisation, sachant qu'ils sont 28% à indiquer qu'elles sont bonnes et 17% faibles. Parmi les reproches, l'étude fait ressortir des plaintes de développeurs comme quoi « aucune automatisation n'est utilisée et que les Dev et les Ops se combattent plutôt que de collaborer » ou encore que « certains projets utilisent des pratiques DevOps et d'autres pas » en fonction des chefs de projets mobilisés.

Par ailleurs selon l'étude de Gitlab, 43% des personnes interrogées ont déclaré que leurs organisations recouraient à du déploiement continu, contre 41% avec des déploiements avaient lieu entre une fois par jour et par mois et seulement 13% entre une fois par mois et tous les 6 mois. « Les avantages de la livraison continue sont clairs : les développeurs disent que les chefs de produit / projet sont à 25% plus susceptibles d’avoir un meilleur sens de la capacité de l’équipe de développement dans une organisation de CD que dans une entreprise qui se déploie entre une fois par mois et une fois tous les six mois. Et 47% conviennent que ces mêmes gestionnaires sont mieux à même de planifier et d’étudier avec précision les fonctionnalités d’un environnement CD ».

L'automatisation des tests de sécurité applicatif à l'heure de l'intégration continue

En termes de sécurité, les méthodes utilisées sont variées et passent notamment par du scan de dépendance (56%), de la sécurité cloud (42%) et des containers (41%). En ce qui concerne l'automatisation des tests de sécurité des applications, pour 34% des répondants ces derniers sont inclus dans le rapport utilisé par les développeurs, 33% passe par de l'intégration et développement continu tandis que 27% font appel à des fonctions particulières (spell-check) pour vérifier la sécurité de leur code. Plus étrangement, près d'un quart avoue ne pas savoir. « Tout comme les développeurs et les professionnels des opérations, les équipes de sécurité pensent que les tests ralentissent le développement (50%), la planification (39%), la révision du code (33%), du développement de code (31%) et de la mise en production (26%).

En termes de DevSecOps, les participants à l'étude de Gitlab sont 36% à indiquer que ce modèle est « honnête », tandis que 34% le qualifie de bon, voire de très bon (13%). « Un modèle DevSecOps mature signifie que les équipes sont trois fois plus susceptibles de découvrir des bogues avant la fusion du code, et ils ont 90% plus de chances de tester entre 91% et 100% du code que dans une organisation disposant de DevOps à un stade précoce. Ne pas bien l'exécuter laisse les équipes de sécurité 2,6 fois plus susceptibles d’être confrontées à un problème avant de trouver ou de réparer des bugs », indique l'étude.