깃랩, 4번째 연간 글로벌 데브섹옵스(DevSecOps) 설문조사 발표
데브옵스(DevOps) 전체 라이프사이클을 단일 애플리케이션으로 구현한 깃랩(GitLab)은 많은 팀들이 데브옵스를 채택하면서 소프트웨어 개발 팀의 역할이 어떻게 변화하고 있는지 확인할 수 있는 4번째 연간 데브섹옵스(DevSecOps) 설문조사 결과를 발표했다.
전 세계 21개 국가에서 3,650명 이상이 참여한 이번 설문조사에 따르면, 데브옵스 채택율이 증가하고, 새로운 도구가 구현됨에 따라 개발자와 보안 및 운영팀 내부의 업무 역할과 도구 선택, 조직도가 크게 변화된 것으로 나타났다.
깃랩의 공동창업자이자 CEO인 시드 시브랜디(Sid Sijbrandij)는 “올해의 글로벌 데브섹옵스 설문조사에 따르면, 그 어느 때보다 성공적인 데브옵스 실무자들이 증가했으며, 출시 시기를 획기적으로 단축하고, 진정한 지속적인 통합 및 배포가 이뤄진 것은 물론, 테스트 및 보안 부문에서도 전환율이 진척되고 있는 것으로 나타났다”며, “팀들이 새로운 기술을 활용하고, 업무 역할을 보다 유동적으로 변화시킴으로써 팀 간의 협업 및 테스트를 개선할 수 있을 것으로 기대하고 있다”고 밝혔다.
변화하는 개발자의 역할
이제는 비즈니스 성과를 이끌어내기 위해 개발자의 역할이 어떻게 진화하고 있는지, 그리고 이것이 보안 및 운영, 테스트 팀의 책임에 어떠한 영향을 미치는지 이해하는 것이 중요하게 되었다. 깃랩은 설문조사 결과, 개발자의 35%가 앱이 실행되는 인프라를 정의하거나 생성하고 있고, 14%는 실제로 해당 인프라에 대한 대응 및 모니터링을 진행하는 것으로 나타났으며, 이는 개발자와 운영 팀 간의 경계가 모호해지고 있음을 반영하는 것이라고 밝혔다.
또한 데브옵스 채택율이 계속 증가하면서 약 60%의 기업들이 하루에 여러 번, 하루에 한 번, 또는 며칠에 한번씩 지속적인 배포의 혜택을 얻고 있는 것으로 나타났다(지난해 45%에 비해 증가). 한편 운영 전문가들의 70%는 새로운 프로세스와 변화하는 기술을 통해 개발자들이 자체 환경을 프로비저닝할 수 있게 되었으며, 이를 통해 책임의 변화가 이뤄질 것이라고 응답했다.
불분명한 보안 책임 소재
보안에 대한 책임 소재가 불분명함에 따라 개발자와 보안 팀 간의 단절은 계속되고 있다. 개발자들의 25%는 보안에 대해 책임을 느낀다고 응답했으며, 보안 팀의 33%는 자신에게 보안 책임이 있다고 답한 반면, 29%(꽤 많은 사람)는 모든 사람이 보안에 대해 책임져야 한다고 생각하는 것으로 나타남에 따라 더욱 명확한 책임 소재가 요구되고 있다.
깃랩의 보안 부문 부사장인 조나단 헌트(Johnathan Hunt)는 “이번 조사에 따르면, 팀의 일상적인 책임이 어떻게 변하고 있는지를 보다 명확하게 규정하는 것이 필요한 것으로 나타났다. 이는 조직 전반의 보안 능력에 영향을 미치기 때문이다”며, “보안 팀은 개발 효율성과 보안 성능을 향상시키기 위해 새로운 도구를 채택하고, 배포할 수 있는 구체적인 프로세스를 구현해야 한다”고 언급했다.
새로운 기술을 통한 출시 속도 단축
개발 팀에게는 소프트웨어 출시 속도와 단축이 중요하다. 깃랩은 개발자의 거의 83%가 데브옵스를 채택한 후 코드를 보다 빨리 출시할 수 있다고 응답한 것으로 확인했다. 또한 CI/CD는 애플리케이션을 구현 및 배포하는 시간을 단축하는데 도움이 되는 것으로 입증되었으며, 38%는 데브옵스를 구현하는데 CI/CD를 포함하고 있다고 응답했다.
깃랩의 기여자와 고객들은 이미 차이를 실감하고 있다. 유비텍(Ubitech)의 엔지니어링 책임자이자 깃랩의 핵심 기여자인 조지 트시올리스(George Tsiolis)는 “유비텍은 지난해 신규 및 기존 프로젝트에 지속적인 통합 및 배포(CI/CD) 실행 방식을 도입했다. 지금까지 CI/CD 구현을 통해 테스트 적용 범위가 전반적으로 증가하고, 배포 또한 더욱 빈번해졌다. 또한 애플리케이션 배포 전후에 잠재적인 취약점을 발견하는 데 필요한 새로운 통찰력을 팀에 제공했다”고 밝혔다.
데브옵스 실행방식에 대한 구현 사례들은 발전해 나가고 있지만, 보안 팀과 개발자 및 운영 팀 간의 원활한 협업을 위한 많은 과제들은 여전히 남아 있다. 전체 보고서는 여기를 클릭하면 확인할 수 있다.