本文来源:DevOps教练报告翻译:刘征直播解读:刘征、冷大鲲、南方、悟空
观看回放地址:https://www.bilibili.com/video/BV1Lv4y1X7dY/
CloudBees 全球企业高管安全管理调查报告-2022
《CloudBees全球CxO安全调查》对美国、英国、法国、德国、西班牙和澳大利亚的600名CxO高管进行了调查,发现安全和合规性挑战是大多数组织的创新战略的一个重要障碍。四分之三的企业高管表示,合规性挑战(76%)和安全挑战(75%)限制了他们公司的创新能力。这部分是由于在合规性审计、风险和缺陷上花费了大量时间。调查还显示,高管们绝大多数赞成左移的方法,即把软件测试和评估转移到开发生命周期的早期,把安全和合规的负担放在开发团队身上。尽管如此,58%的人也同意左移的安全策略对开发团队来说是一种负担。
总的来说,调查结果显示,全球的公司将从改善和精简安全和合规性流程中大大受益,以确保他们的软件供应链,改善开发人员的经验,并增加创新的时间。
Q1 你对软件供应链的攻击有多担心(如果有的话)?
十分之九的企业高管表示,他们对软件供应链攻击感到担忧,其中一半表示非常担忧。
来自澳大利亚、法国、西班牙、英国和美国的C-suite高管比德国的C-suite高管更有可能说他们担心软件供应链的攻击。
Q2 与两年前相比,您认为您对软件供应链攻击的担忧是多还是少?
超过五分之四的C-suite高管表示,与两年前相比,他们对软件供应链攻击更加担忧。
在所有六个国家中,至少有四分之三的C-Suite高管表示,与两年前相比,他们更担心软件供应链的攻击。
Q3 你认为你的软件供应链的安全性如何?
去年,超过九成(95%)的C-suite高管表示他们的软件供应链是安全的,超过一半表示非常安全。在2022年,这一比例下降到88%,认为它是安全的,只有三分之一(32%)的人认为它是非 常安全的。
德国的首席执行官比其他国家的执行官更有可能说他们的软件供应链不安全。
Q4 您认为您的软件供应链的合规性如何?
超过四分之三的C-Suite高管(78%)表示他们的软件供应链完全或几乎完全合规,低于去年十分之九(90%)的说法。
澳大利亚、法国、英国和美国的首席执行官比德国和西班牙的首席执行官更有可能说他们的软件供应链完全或几乎完全合规。
Q5 虽然两者都很重要,但哪个对你的组织最重要?
四分之三的C-suite高管表示,安全和合规是最重要的,而四分之一的人表示快速和合规是最重要的。
每个国家至少有三分之二的C-Suite高管表示安全和合规比快速和合规更重要。
Q6 您认为,贵公司的团队每年平均花多少时间在合规性审核上?如果您不确定,请使用您最好的估计。如果您真的不知道,请选择不确定。
虽然超过五分之一的C-suite高管表示他们完全不确定,但平均而言,C-suite高管表示他们的团队每年花在合规性审计上的时间超过37天。
来自西班牙、英国和美国的C-Suite比其他三个国家的C-Suite更有可能说他们的团队每年平均花更多时间在合规性审计上,而德国的C-Suite更有可能说他们完全不确定。
Q7 在平均一周内,您认为您的团队在以下各项上花费的时间是多少?如果您不确定,请使用您最好的估计。
尽管首席执行官们说他们的团队在创新上花费了更多的时间,但他们在风险和缺陷上花费的时间也相差不远。
- innovation 创新
- risks 风险管理
- Defacts 缺陷管理
- Technical Debt 技术债务
虽然所有国家的比例都差不多,但在澳大利亚和西班牙,花在风险上的时间比花在创新上的时间多。
Q8 在平均一周内,您认为您的团队应该在以下各项上花费多少时间?如果您不确定,请使用您的最佳估计。
毫不奇怪,C-suites说他们的团队应该把最大的时间花在创新上。
德国和英国的C-suites高管比其他国家的高管更有可能说更多的时间应该花在创新上,而美国和西班牙的C-suites更有可能说更多的时间应该花在风险上。
Q8-A 是什么阻碍了你的开发团队将更多的时间花在你认为他们应该花时间的活动上?请选择所有适用的。
超过一半的C-suite高管表示,合规性和/或流程占用时间是阻止他们的开发团队花更多时间在他们认为应该花时间的活动上的原因。
- 合规和/或流程所需要的时间
- 合规和/或安全方面的知识
- 过多的技术债务
- 糟糕的产品测试
- 其他的东西
- 没有什么能阻止他们
澳大利亚和美国的C-suite高管比其他国家的C-suite高管更有可能说合规和/或安全知识是阻止他们的开发团队花更多时间在他们希望他们花时间的活动上。
Q9 你有多大程度上同意或不同意以下说法?
几乎十分之九的C-suite高管表示,与两年前相比,他们现在更多地考虑保障软件供应链的安全和合规问题。
- 我现在比两年前更多地考虑保障供应链的安全。
- 我现在比两年前更多地考虑合规问题
- 合规挑战限制了我们的创新能力
- 安全挑战限制了我们的创新能力
- 我宁愿处理自然灾害,也不愿处理我们软件供应链中的安全问题
- 在我们公司,安全问题可能是一个缓慢的部门。
- 如果我们的软件供应链受到攻击,我不确定我们会首先向谁求助
几乎三分之二的C-suite高管表示,在他们的公司中,安全可能是最慢的部门。
人口统计学上的差异。按C-suite高管的类型 :CEO比CTO/CIO/CISO和其他C-suites更有可能说。
- 他们现在比两年前更多地考虑合规问题(93% vs. 85%和79%)。
- 合规挑战限制了他们的创新能力(82%对73%和73%)。
- 安全挑战限制了他们的创新能力(84% vs. 72% & 64%)。
- 他们宁愿处理自然灾害,也不愿处理软件供应链中的安全问题(80% vs. 62% & 52%)。
- 在他们的公司里,安全可能是最慢的部门(79% vs. 58% & 50%)。
- 如果我们的软件供应链受到攻击,我不确定我们会首先向谁求助(70%对45%和51%)。
人口统计学上的差异。按年龄划分 :40岁以下和40至54岁之间的人比55岁以上的人更有可能说。
- 安全挑战限制了他们的创新能力(82% & 74% vs. 55%)。
- 他们宁愿处理自然灾害也不愿处理软件供应链中的安全问题。供应链的安全问题(69% & 69% 对 48%)。
- 在他们的公司里,安全可能是最慢的部门(71% & 65% vs. 39%)。
- 他们不确定如果他们的软件供应链受到攻击,他们会首先求助于谁(62% & 55% vs. 34%)。
人口统计学上的差异。按公司规模划分:员工人数少于1000人的公司比员工人数在1000人以上的公司更可能说。
- 他们更愿意处理自然灾害而不是软件供应链中的安全问题(70%对62%)。
人口统计学上的差异。按在C-suite的时间划分 :在C-Suite工作10年以下的人比10年以上的人更有可能说。
- 在他们的公司里,安全可以成为缓慢的部门(67%对52%)。
澳大利亚的C-Suite高管比其他国家的高管更有可能说,如果他们的软件供应链受到攻击,他们不确定会首先求助于谁。
所有这些与去年相比都有所下降,但这可能与西班牙和澳大利亚的加入有更大关系,而不是条件的变化。
Q10 每项的自动化程度如何?
五分之三的C-suites(59%)说他们的软件供应链几乎或完全自动化;比去年的四分之三(75%)有所下降。
澳大利亚、英国和美国的首席执行官比法国、德国和西班牙的首席执行官更可能说他们的软件供应链是自动化的。
近五分之三的企业高管表示他们的合规流程完全或几乎全部自动化,而四分之一的企业高管表示他们的合规流程大约有一半自动化。
澳大利亚和美国的C-suites比其他国家的C-suites更可能说他们的合规流程是自动化的。
Q11 当谈到你拥有的安全和/或合规性问题的工具时,哪种工具与你正在使用的工具最接近?
五分之三的C-suite高管(59%)表示,他们拥有的安全和/或合规性工具全部或大部分都来自外部,而十分之三的人拥有混合的工具,十分之一的人(11%)拥有大部分或全部自己创建的工具。
与法国、德国和西班牙相比,澳大利亚、英国和美国的首席执行官们表示,他们在安全和/或合规问题上使用了所有或大部分的外部工具。
Q12 你目前是否在你的组织中实施了向左转的安全和合规方法?
超过四分之三的C-suite高管表示,他们正在其组织中实施 “左移 “的安全和合规方法,其中三分之一表示他们肯定在实施。
澳大利亚、西班牙、英国和美国的首席执行官比法国和德国的首席执行官更有可能说他们正在其组织中实施 “左移 “的安全和合规方法,而德国人更有可能说他们没有实施这种方法。
Q13 哪一个最接近左移方法对你的开发者的影响?
近五分之三的C-suite高管说 “左移 “方法对他们的开发人员是一种负担,而超过三分之一的人说它是一种帮助。
澳大利亚的C-suites比其他国家的C-suites更有可能说 “左移 “方法对他们的开发人员是一种负担,而德国和西班牙的C-suites更有可能说这是对他们的帮助。
Q14 你有多同意或不同意以下说法?
十分之九的C-suite高管表示他们的风险管理团队拥有建立和/或确保安全的软件供应链的知识和专长,而几乎十分之九的人表示他们的架构师和/或开发人员拥有。
- 我们的风险管理团队拥有建立和/或确保安全的软件供应链的知识和专长。
- 我对我们的软件在生产中的安全性非常有信心
- 我们的架构师和/或开发人员拥有构建和/或确保软件供应链安全的知识和专业技能
- 我们的风险管理团队拥有他们需要的所有工具
- 我们的开发人员拥有他们需要的所有工具
- 左移对我们的组织来说是很重要的
超过五分之四的C-suite高管表示 “左移 “对他们的组织很重要。
西班牙、英国和美国的C-suite高管比澳大利亚、法国和德国的C-suite高管更有可能说他们对自己的软件在生产中的安全性非常有信心。
S4 目前有多少开发人员在贵公司工作?如果您不确定,请使用您最好的估计。
五分之二的C-suite高管(41%)说他们公司目前有100个或更少的开发人员,而超过三分之一(35%)的人超过200个。
Q2 与两年前相比,您认为您对软件供应链攻击的担忧是多还是少?
法国、德国、西班牙和英国的C-suite高管比澳大利亚和美国的C-suite高管更有可能说他们的公司目前有1-50名开发人员,而澳大利亚的高管则更有可能说他们有201-300名。
方法论:
- CloudBees与Regina Corso Consulting合作,对澳大利亚、法国、德国、西班牙、英国和美国的C-suite高管进行了调查,以收集关于软件供应链和围绕它的安全问题的见解。
- 本次调查的对象是来自至少有250名员工的公司的600名C-suite高管,澳大利亚、法国、德国、西班牙、英国和美国各有100名受访者。
- 本次调查于2022年6月27日至7月8日在网上进行。
- 阅读图表时注意。由于四舍五入,或由于问题允许多次回答,百分比的总和可能不是100%。此外,”*“表示回答少于0.5%。除非另有说明,所有幻灯片的基数代表600名C-suite管理人员的总数。如果问题与前一年的调查重复,则显示趋势数据。
- 关于逐年数据的说明。2021年只有四个国家(法国、德国、美国和英国),而2022年增加了两个国家。
人口统计学:
- 年龄:18-39岁=45%,40-54岁=40%;和55岁以上=16%。
- 性别特征。男性=70%;女性=29%;非二进制=*。
- 公司规模。250-999名员工=53%,1000名或以上员工=48%。
- C-suite高管的类型。CEO=34%;CIO=21%;CTO=19%;首席审计官=6%;CISO=6%;首席风险官=2%;以及其他C-suite=12%。
- 担任C-suite高管的时间:5年或以下=29%;6-10年=48%;11-20年=16%,20年以上=7%。