近日，云計(jì)算開源產(chǎn)業(yè)聯(lián)盟發(fā)布了《中國DevOps現(xiàn)狀調(diào)查報(bào)告（2021年）》，對2020至2021年度DevOps在中國落地實(shí)踐的現(xiàn)狀展開調(diào)查，并基于調(diào)研結(jié)果對未來發(fā)展趨勢做出預(yù)判。調(diào)查報(bào)告重點(diǎn)分析了DevOps的應(yīng)用現(xiàn)狀、工具和技術(shù)選擇、轉(zhuǎn)型現(xiàn)狀、存在的問題與挑戰(zhàn)、未來投入趨勢，以及企業(yè)對政策/資質(zhì)的需求。

圖：《中國DevOps現(xiàn)狀調(diào)查報(bào)告（2021年）》封面

調(diào)查由中國信息通信研究院聯(lián)合近40家企業(yè)共同發(fā)起，以信通院牽頭編制的《研發(fā)運(yùn)營一體化（DevOps）能力成熟度模型》系列標(biāo)準(zhǔn)為參考，受訪對象覆蓋互聯(lián)網(wǎng)、科技、電信、金融、制造、教育、咨詢與服務(wù)和零售等行業(yè)，共回收有效問卷1862份。同時(shí)，基于調(diào)查結(jié)果，結(jié)合行業(yè)專家的深度訪談與探討，力爭詳實(shí)客觀地反映企業(yè)對DevOps落地實(shí)踐的需求，為行業(yè)發(fā)展提供真實(shí)可信的數(shù)據(jù)支撐。

調(diào)查結(jié)果顯示，目前五成以上的中國企業(yè)DevOps落地實(shí)踐成熟度已達(dá)到全面級及以上水平。根據(jù)DevOps標(biāo)準(zhǔn)，DevOps能力成熟度標(biāo)準(zhǔn)劃分為5個(gè)級別，從實(shí)踐的探索起步到熟練應(yīng)用，依次為初始級、基礎(chǔ)級、全面級、優(yōu)秀級和卓越級（如下圖）。在最近兩年中，企業(yè)DevOps落地實(shí)踐成熟度在全面級增長持續(xù)擴(kuò)張，連續(xù)兩年增長比例超過8%。

圖：DevOps級別劃分

隨著DevOps應(yīng)用日趨成熟，敏捷開發(fā)成為軟件開發(fā)的主流模式。調(diào)查結(jié)果顯示，目前中國已有八成以上的企業(yè)在不同程度上實(shí)踐敏捷開發(fā)，超七成企業(yè)采用實(shí)體化敏捷團(tuán)隊(duì)，并以持續(xù)交付更多業(yè)務(wù)價(jià)值為發(fā)展方向。

圖：敏捷實(shí)踐現(xiàn)狀分布

在安全管理方面，DevSecOps理念已被各行各業(yè)更廣泛地接受，目前已有53%的企業(yè)嘗試實(shí)踐并引入了 DevSecOps。相較于上一年度，增長幅度近12%，這也反映出企業(yè)IT建設(shè)中安全意識與安全實(shí)踐水平的大幅提升。

圖：DevSecOps引入現(xiàn)狀

同時(shí)，作為安全管理的重要支撐部分，安全工具百花齊放。除了長期被企業(yè)廣泛應(yīng)用的代碼安全、Web安全、主機(jī)安全三大類工具仍漲勢明顯外，調(diào)查針對企業(yè)對安全工具的實(shí)際使用情況，新增收錄了IAST、威脅建模、安全基線配置、NTA（網(wǎng)絡(luò)流量分析技術(shù)) 、威脅情報(bào)、SOC/SIEM（安全運(yùn)營中心/安全信息和事件管理）工具的使用率調(diào)查結(jié)果。其中，IAST作為DevSecOps實(shí)踐框架下最需要被優(yōu)先考慮的關(guān)鍵基礎(chǔ)技術(shù)，未來市場發(fā)展空間廣闊。

圖： 安全工具使用現(xiàn)狀——懸鏡IAST使用率占比5.84%，同類工具中市場占有率第一

調(diào)查結(jié)果顯示，懸鏡靈脈IAST工具當(dāng)前在同類工具中市場應(yīng)用率排名第一，領(lǐng)先于其他同類產(chǎn)品。靈脈IAST是全球首個(gè)獲得中國信通院《交互式應(yīng)用程序安全測試工具能力要求》行業(yè)標(biāo)準(zhǔn)認(rèn)證的IAST工具，也是目前國內(nèi)唯一支持Java、PHP、Node.js、Python、.Net、Go等全部主流語言、且實(shí)現(xiàn)全場景支持的平臺。

靈脈IAST工具在被廣泛應(yīng)用于金融、能源、泛互聯(lián)網(wǎng)、IoT、云服務(wù)及汽車制造等不同行業(yè)的實(shí)踐過程中，結(jié)合實(shí)際用戶場景的踐行效果不斷思考，基于長期的實(shí)戰(zhàn)經(jīng)驗(yàn)與用戶交流，總結(jié)出一系列的IAST落地重點(diǎn)考量事項(xiàng)，以期幫助企業(yè)提升IAST工具在DevSecOps建設(shè)落地中的使用率，為企業(yè)帶來更多業(yè)務(wù)價(jià)值。

I AST 落地重點(diǎn)考量事項(xiàng)：

l 同時(shí)支持應(yīng)用插樁和多種流量追蹤技術(shù)，應(yīng)對業(yè)務(wù)場景豐富、開發(fā)語言眾多、部署環(huán)境復(fù)雜等場景；

l 支持敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)監(jiān)測，自動發(fā)現(xiàn)應(yīng)用運(yùn)行過程中的敏感數(shù)據(jù)處理行為，定位漏洞位置、提供解決方案；

l 支持自動化安裝，協(xié)調(diào)CI/CD完成批量部署；

l 適配現(xiàn)代微服務(wù)架構(gòu)，通用RPC、自研RPC框架；

l 支持配置熱加載、性能異常熔斷機(jī)制；

l 支持SCA第三方開源組件運(yùn)行時(shí)監(jiān)測分析；

l 支持API覆蓋率檢測，自動發(fā)現(xiàn)系統(tǒng)中的API接口，防止出現(xiàn)API孤鏈；

l 與研發(fā)體系深度融合(DevOps平臺、Jenkins 、Jira、CAS等三方平臺)。

版權(quán)聲明：本文所引用調(diào)查報(bào)告數(shù)據(jù)和圖表版權(quán)屬于云計(jì)算開源產(chǎn)業(yè)聯(lián)盟，凡轉(zhuǎn)載、摘編或利用其它方式使用此類調(diào)查報(bào)告文字或者觀點(diǎn)的，應(yīng)注明“來源：云計(jì)算開源產(chǎn)業(yè)聯(lián)盟”。

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！