半数以上がAIでコードチェック実施 全世界のDevSecOps担当者に聞いた開発の実態AI/MLを使ったコードチェックが普及

GitLabはDevSecOpsに関する調査の結果を発表した。AI/MLによるコードチェックやテストプロセスでのbotの使用の増加が目立つDevSecOps担当者のセキュリティへの取り組みや、回答を寄せたDevSecOps担当者のコメントを紹介する。

» 2023年07月21日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 GitLabは2023年6月29日(米国時間)、5000人を超えるDevSecOps担当者にソフトウェア開発、運用、セキュリティの現状について実施したアンケートの結果を発表した。2023年にチームが優先していることや、状況がどのように改善されているか、チームがまだ障害に直面しているところはどこか、セキュリティ、人工知能(AI)と機械学習(ML)、クラウドコンピューティングなど注目のトピックの最新情報は何かなどについて2023年3月に調査した。

新しいセキュリティ体制に欠かせないAI/ML

 開発者の間では、コードのチェックにAI/MLを利用するケースが増えている。

  • 「テスト以外でAI/MLを用いてコードをチェックする」と答えた開発者の割合は、2022年の51%から2023年には62%に上昇した
  • 「テストプロセスでbotを利用している」と答えた開発者の割合は2022年の39%から2023年には53%に上昇した
  • 「AI/MLツールが開発者よりも先にコードレビューを行っている」と答えた開発者の割合は、2022年の31%から2023年の33%に微増した
  • 「AI/MLのいずれも開発に利用していない」と答えた開発者の割合は、2022年、2023年とも同じ5%にとどまった

セキュリティ担当者の57%が6つ以上からなるツールチェーンを構築している

 セキュリティ担当者の57%が6つ以上のツールを組み合わせ、ツールチェーンを構築していると回答したのに対し、6つ以上のツールチェーンを活用する開発者は48%、運用担当者は50%だった。

 2023年には使用しているツール数が2〜5と回答したセキュリティ担当者が減少し、6〜10と回答した担当者が増加した。

DevSecOps プラットフォームに求めるものはセキュリティと効率

 最も多くの回答者がDevSecOpsプラットフォームに求めるものとして、「より良いセキュリティ」を挙げた。わずかな差で「効率的なDevOpsの実践」が続き、以下は「コストと時間の節約」「自動化の容易さ」「CI/CD(継続的インティグレーション/継続的デリバリー)の運用」となった。

回答者のプロフィール

 2023年3月に実施したグローバルDevSecOpsアンケートには5000件を超える回答があった。今回の調査の回答者は、あらゆる規模の組織から集まり、さまざまな国、業界、職種の人々だ。回答者のプロフィールを紹介する。

回答者の所属する業界と業種

 回答者が所属する上位5業界は次の通り。

  1. コンピュータハードウェア、サービス、ソフトウェア、SaaS業界:39%
  2. テレコミュニケーション:6%
  3. 銀行、金融:5%
  4. 製造:5%
  5. 小売り:5%

 また、回答者の上位5業種は次の通り。

  1. ソフトウェア開発/エンジニア:19%
  2. 開発/エンジニアリングマネジャー/ディレクター:13%
  3. 技術部重役(CIO(最高情報責任者)/CISO(最高情報セキュリティ責任者)/CTO(最高技術責任者)/バイスプレジデント):10%
  4. DevSecOpsマネジャー/ディレクター:6%
  5. DevSecOpsエンジニア:5%

回答者が所属する組織規模(従業員数)

 回答を寄せたDevSecOps担当者の多くが所属する組織は中規模が多いことが分かる。上位3つを以下に挙げる。

  1. 従業員数100〜249人:23%
  2. 従業員数250〜499人:14%
  3. 従業員数500〜999人:13%

  同社はアンケート回答者の意見を幾つか紹介している。

 「セキュリティの重要性はますます高まっており、ウオーターフォールのような伝統的な開発方法論と、製品ベースの新しい組織との間のギャップがより明確になっている。ある意味で、成熟した有能なチームと成熟していないチームとの間のギャップは、縮まるどころか、むしろ拡大していると私は見ている」(DevSecOpsリーダー、ビジネスサービスコンサルタント)

 「優先順位を付け、解決しなければならない脆弱(ぜいじゃく)性が圧倒的に多い」(セキュリティエンジニア、コンピュータハードウェア/サービス/ソフトウェア/SaaS)

 「セキュリティ、コード品質、コードの破損に目を配る時間を取らずに、新機能を押し出すことにプロダクトが集中し過ぎている」(サイト信頼性エンジニア、メディア&エンターテインメント)

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。