GitLabは2023年グローバルDevSecOps AIレポートを発表し、主な分析結果としてAIとMLの利用が「あるとよい」ものから「なくてはならない」ものへと進化していると発表した。
同レポートによると、23%の組織がすでにソフトウェア開発でAIを使用しており、そのうち60%が毎日使用しているという。さらに、回答者の65%が、現在テストにAIとMLを使用しているか、今後3年以内に使用すると回答している。
83%の回答者が、遅れをとらないためにはソフトウェア開発にAIを導入することが不可欠だと回答している。しかし、セキュリティ担当者の回答のうち約67%は、AI・MLが人間よりもコスト効率が高く、人間が時代に追いつけなくなってしまう、人間が着手できる仕事の数が減ってしまう、仕事をより難しくするエラーを持ち込んでしまう可能性があるなどの理由から、AI・MLの影響を懸念している。
/filters:no_upscale()/news/2023/09/gitlab-global-devsecops-ai/en/resources/1ai-ml-concerns-1695152846522.png)
コードを書く手助けをするAIに注目が集まっているが、これは開発者が仕事に費やす時間の4分の1に過ぎない。残りの時間は他の作業に費やされるため、これはAIがコードを書く以外にも利用の機会が広がることを示唆している。回答者の62%は、正式なテストプロセス以外でコードのチェックにAIを使用しており、53%はコードのテストにボットを使用している。これらの数字はいずれも、前年比で10%以上増加している。
AIとML以外では、DevOpsとDevSecOps手法の利用が増加しており、2022年以降47%から56%に増加している。さらに、この調査では、DevSecOpsの脱サイロ化が進んでいることを示している。「セキュリティの全責任を負っている」と答えた回答者はわずか30%で、1年前の48%から減少している。セキュリティ担当者の38%が、自分はセキュリティに取り組む部門横断的なチームの一員と考えている。しかし、開発者とセキュリティ専門家の間には、セキュリティ上の懸念に対処する上で誰が主導権を握るべきか、いまだに混乱が生じている。
/filters:no_upscale()/news/2023/09/gitlab-global-devsecops-ai/en/resources/1who-is-responsible-1695152846522.png)
回答者の 74%は、現在、SDLCの早い段階でテストを実施しているか、今後 3年以内に実施する予定である。組織の最優先の投資対象は引き続きクラウドコンピューティングであるが、セキュリティ、ガバナンス、コンプライアンスは現在 2 番目に大きな懸念事項となっている。
ツールチェーンの複雑さは引き続き問題であり、回答者のおよそ3分の2は、使用しているツールの簡素化を望んでいる。このため、コンプライアンスとモニタリングの全体像を把握することが難しくなり、ツールチェーン全体から知見を引き出すことが難しくなるとの懸念も示されている。
モチベーションに目を向けると、開発者の生産性、リリーススピード、ビジネススピードの向上が、DevSecOpsプラクティスを拡大する主な理由であることが浮き彫りになった。しかし、過去1年間にDevSecOpsの予算が増えたと回答したのは、わずか15%だった。DevSecOpsプラットフォームは引き続き支持を集めており、回答者の72%が1つを使用しているか、来年使用する予定である。その主な理由は効率性、セキュリティ、自動化の向上である。
GitLabの「Global State of DevSecOps AI」レポートはウェブサイトからダウンロードできる。