2022 年の Accelerate State of DevOps Report を発表: セキュリティに焦点
Google Cloud Japan Team
※この投稿は米国時間 2022 年 9 月 29 日に、Google Cloud blog に投稿されたものの抄訳です。
2021 年は、データ侵害により 220 億件以上の記録が流出し、大企業の数社が犠牲になりました。このような侵害や他の悪意のある攻撃の間も、顧客データを安全に保ち、ビジネスの運用を継続するよう取り組むために、セキュリティは、組織にとって最優先事項であり続けています。
これを念頭に置いて、Google Cloud の DevOps Research and Assessment(DORA)チームは、本日公開された 2022 年の Accelerate State of DevOps Report のセキュリティに焦点を当てることにしました。
過去 8 年間で、33,000 人を超える世界中の専門家が、Accelerate State of DevOps の調査に参加しています。この種の調査の中で最大規模であり、また最も長く実施されている調査となっています。Accelerate State of DevOps Report は毎年、データドリブンな業界分析情報を提供しています。分析情報では、ソフトウェア デリバリーや運用における組織的なパフォーマンスを促進する機能とプラクティスが検証されています。
ソフトウェア サプライ チェーンの保護
セキュリティと DevOps の関係を分析するために、ソフトウェア サプライ チェーンのセキュリティに関するトピックを調査しました。このトピックは、過去数年間の調査において軽く触れられただけでした。この調査を行うために、NIST の Secure Software Development Framework(SSDF)だけでなく、Supply-chain Levels for Secure Artifacts(SLSA)のフレームワークも使用しました。この 2 つのフレームワークを組み合わせることで、組織がソフトウェア セキュリティ プラクティスを導入および検討する方法に影響を与える、技術的側面と非技術的側面の両方を調査できました。
全体的に、新しいセキュリティ プラクティスが驚くほど幅広く導入されていることがわかりました。回答者の大半が、質問されたすべてのプラクティスを少なくとも部分的に導入していると報告しています。SLSA と NIST SSDF が促進するすべてのプラクティスの中で、本番環境版の継続的インテグレーション / 継続的デリバリー(CI / CD)システムの一部として、アプリケーション レベルのセキュリティ スキャンを使用することが最も一般的なプラクティスであり、回答者の 63% が、これが「非常に」または「完全に」確立されていると述べています。コード履歴の保存とビルド スクリプトの使用も、非常に確立されていますが、メタデータへの署名と 2 名でのレビュー プロセスの必要性は、成長の余地が最もあります。
驚くべきことの一つは、組織のソフトウェア セキュリティ プラクティスの最大の予測因子は、技術的なものではなく文化的なものであるということでした。Westrum が定義しているように、パフォーマンスを重視する、信頼性が高く、非難されることが少ない文化は、権力や規律を重視する、信頼性が低く、非難されることが多い文化より、新しいセキュリティ プラクティスを導入する傾向がかなり高くなっています。それだけでなく、調査結果によると、セキュリティ プラクティスの確立を重視しているチームは、開発者の燃え尽き症候群を減らし、自分のチームを他の人に推薦する傾向が高いことが示されています。そのため、データにより、組織文化と最新の開発プロセス(継続的インテグレーションなど)が、組織のソフトウェア セキュリティの最大の要因であり、セキュリティ体制の改善を目指す組織にとって、最適なスタート地点であることが示されています。
2022 年のその他の最新情報は?
今年はセキュリティに焦点を当てていますが、ソフトウェア デリバリーと運用のパフォーマンスの調査を止めるに至ってはいません。DevOps チームを、デプロイの頻度、変更のリードタイム、復元の平均時間、変更失敗率の 4 つの主要な指標と、昨年導入した 5 つ目の指標である信頼性を使用して分類しました。
ソフトウェア デリバリーのパフォーマンス
この 5 つの指標を見て、回答者は、高、中、低の 3 つのクラスタに分類されました。過去数年間とは異なり、「エリート」クラスタの兆候はありませんでした。ソフトウェア デリバリーのパフォーマンスに関して言えば、今年のパフォーマンスの高いクラスタは、昨年のパフォーマンスの高いクラスタとエリート クラスタが融合されています。
以下のテーブルで、割合の詳細が示すように、パフォーマンスが高いクラスタは 4 年ぶりの低水準であり、パフォーマンスが低いクラスタは 2021 年の 7% から 2022 年には 19% まで急激に増加しています。しかし、パフォーマンスが中間のクラスタは、回答者の 69% まで膨れ上がりました。そうは言っても、今年の低、中、高のクラスタを昨年のものと比較すると、全体的にソフトウェア デリバリーのパフォーマンスは、わずかに上昇傾向にシフトしていることがわかります。今年のパフォーマンスの高いクラスタは、パフォーマンスが向上しており、昨年のパフォーマンスの高いクラスタとエリートのクラスタが融合したものです。パフォーマンスの低いクラスタも、昨年よりパフォーマンスが向上しています。今年のパフォーマンスの低いクラスタは、昨年のパフォーマンスの低いクラスタと中間のクラスタが融合したものです。
この変化をもっとよく把握できるように、追加の調査を実施する予定ですが、現時点では、現在進行中のパンデミックがチームの知識共有、コラボレーション、イノベーションの能力を阻んでいることで、パフォーマンスの高いクラスタ数が減少し、パフォーマンスの低いクラスタ数が増加している一因となっている可能性があるという仮説を立てています。
運用のパフォーマンス
DevOps に関して言えば、ソフトウェア デリバリーのパフォーマンスは全体像であるというよりも、これは組織の全体的な運用のパフォーマンスに貢献し得るものでもあります。さらに深く掘り下げるために、5 つの指標を示すように設計されている、次の 3 つのカテゴリでクラスタ分析を実施しました。スループット(コード変更のリードタイムとデプロイの頻度の複合)、安定性(サービス復元の時間と変更の失敗率の複合)、運用のパフォーマンス(信頼性)です。
データ分析を通じて、4 つの異なるタイプの DevOps 組織が明らかになりました。このようなクラスタは、プラクティスと技術的能力が著しく異なるため、さらに細かく分類しました。
初期段階: このクラスタは、どの側面でもパフォーマンスがよくも悪くもありません。プロダクト、機能、またはサービスのデプロイの初期段階にある可能性があります。フィードバックの入手、プロダクト マーケット フィットの理解、より一般的な調査に焦点が当てられているため、信頼性にはそれほど重点が置かれていない可能性があります。
フロー段階: このクラスタは、高い信頼性、高い安定性、高いスループットのすべての特性で優れたパフォーマンスを発揮します。このフロー状態に達した回答者は、わずか 17% でした。
後期段階: このクラスタの回答者は、あまり頻繁にデプロイしませんが、デプロイする場合は、成功する傾向にあります。回答の 3 分の 1 以上がこのクラスタに分類され、サンプルを最も代表するものになっています。このパターンは、段階的に向上しているチームに特有である傾向がありますが(しかし排他的ではない)、チームとその顧客は、アプリケーションまたはプロダクトの現状におおむね満足していると言えます。
終了段階: 最後に、このクラスタは、チームやその顧客にとってまだ価値があるけれども、開発がもう積極的に進められていないサービスやアプリケーションに取り組んでいるチームのように見えます。
皆様はフロー段階のコホートでしょうか?過去の回答者は、このガイダンスに従ってエリート ステータスを達成できましたが、フロー段階のコホートを目指すチームは、疎結合アーキテクチャ、CI / CD、バージョン管理、職場の柔軟性の提供に重点を置く必要があります。このようなコンピテンシーとその導入方法について詳しく説明している、技術的な能力に関する記事をご確認ください。
DORA の使い方について
State of DevOps Report は、チームが DevOps のパフォーマンスを高める方法について理解しようとする出発点として最適です。さらに、他の組織がどのようにレポートを使用して、組織全体に有意義な影響を与えているか知るのにも役立ちます。昨年、Google Cloud DevOps Awards を初開催しました。今年は、昨年受賞した企業の 13 のケーススタディを含む DevOps Awards Ebook を公開しました。Deloitte、Lowe's、Virgin Media などの企業が、どのように組織への DORA プラクティスの導入に成功したか学べます。そして、2022 年の DevOps Awards に応募して、皆様の組織変革のストーリーを共有してください。
2022 年の調査にご協力いただいた皆様にこの場を借りてお礼を申し上げます。この Accelerate State of DevOps Report が、さまざまな規模、業界、地域の組織で DevOps 機能の向上に役立つことを願っております。また、皆様のご意見やご感想をお待ちしております。このレポートと Google Cloud での DevOps の導入についての詳細は、以下のとおりになります。
DevOps Quick Check で、お客様の組織を同じ業界の他の組織と詳しく比較する
Enterprise ガイドブックで、組織に DORA プラクティスを導入する方法を詳しく確認する
パフォーマンスの高いチームの DevOps の能力を中心に組織をモデル化する
- DORA リサーチ担当リーダー Claire Peters