安全性必须是软件交付周期的一部分

Puppet的DevOps状况：行业报告卡对从金融到零售的不同行业进行了评估，评估了他们将安全性集成到DevOps实践中的程度以及DevOps的成熟度。该报告揭示了一些交易技巧。了解不同行业所面临的挑战以及每个行业的优势，找出最成功的公司的共同点。

在对来自全球的近3,000名技术人员进行了调查之后，Puppet发布了《 DevOps状态：行业报告卡》中的调查结果。该调查研究了不同行业在DevOps成熟度和安全性集成方面的评价。

该调查的主要发现之一是，安全集成对软件交付周期和漏洞修复的影响有多大。当然，转换并不容易，并且安全集成可以分为一系列级别。达到更高级别的安全性需要时间和金钱，会中断工作流程，并且在某些行业中，挑战已经存在数十年的实践。

Puppet社区和开发人员关系高级总监Alanna Brown说：将安全性集成到您的DevOps实践中可能会充满挑战，但事实证明，如果正确完成，会有所收获。安全不应该是事后的想法。在软件交付生命周期的每个阶段，团队之间必须共同承担责任。

这项研究检查了以下行业：金融服务和保险，政府，零售，科技和电信。每个行业的表现如何，哪些行业获得评分？

金融机构的评级很苛刻

根据调查，在将安全性集成到DevOps实践中时，金融服务最差。原因之一是许多金融机构已经存在了数十年，因此很难进行破产。开发人员也可能会处理大量纠结的技术债务和遗留代码库。

来自金融机构的大多数受访者（67％）同意他们的安全团队可以防止计划外的工作，只要将其包括在内即可。金融机构还报告说，交付团队中缺乏安全专家。

金融服务业面临的困境告诉我们，应高度重视安全专家和自动化。

零售按时部署

在某些情况下，零售业在人群中脱颖而出。它们是解决关键漏洞最快的方法。不到一天的时间就纠正了53％的关键安全漏洞。零售还具有按需部署的高能力。

许多零售公司都认为自己在DevOps旅程中处于较高水平。

尽管如此，零售也因违反安全性而臭名昭著。调查显示，零售业在开发的后期阶段不太可能集成安全性，因此需要进行更好的安全性测试实践。

领先的DevOps领导

毫不奇怪，在诸如持续交付，DevOps成熟以及将安全性集成到软件交付周期等实践方面，技术行业的得分最高。但是，在容器映像部署和测试方面，零售业的得分要高于技术行业。

与其他行业相比，科技公司拥有更高程度的领导支持。28％的科技公司报告说，领导力始终支持DevOps实践。

成功的公司有什么共同点？

尤其是绩效较高的公司，在计划外工作上花费的时间更少。计划外的工作范围包括紧急软件部署，补丁程序和返工修补程序。因为他们花了更少的时间来扑灭紧急情况，所以他们有更多的时间来开发新功能。连续的交付周期和自动化是减少计划外工作的方法。

将安全视为共同的责任是成功的另一个关键。尤其是高科技公司，平均而言，将安全视为影响所有团队的关注点，而不仅仅是安全团队。