Требования к качеству и скорости поставки программного обеспечения (ПО) растут. В этих условиях главную роль начинает играть эффективная организация процессов разработки. Одним из ключевых подходов стал DevOps — философия, практики и набор инструментов, которые позволяют ускорять поставку цифровых продуктов и повышать качество разработки.

Команда платформы «Сфера» (разработка холдинга Т1) выпустила второе ежегодное исследование Russia DevOps Report 2023, в котором анализируются тренды российского рынка DevOps с учетом его особенностей, вызовов и перспектив. В исследовании приняли участие инженеры, специалисты, руководители и директора, занимающиеся разработкой программного обеспечения. Всего 817 респондентов, из которых 472 — руководители и сотрудники DevOps-команд. Более 75% опрошенных — представители крупного и среднего бизнеса. Анкету разрабатывали при участии руководителей и экспертов МТС, IBS, Yandex Cloud, «Лаборатории Касперского», НИУ ВШЭ, ИСП РАН, «ЭКОПСИ Консалтинг», а также холдинга Т1. Результаты исследования представили на мероприятии «НОТА День» с участием клиентов и партнеров вендора НОТА (холдинг Т1).

Евгений Калашников, CPO стрима «Инженерные инструменты» платформы «Сфера», отметил, что в 2023 году исследование охватило несколько направлений: проблематику использования инструментов DevOps, в том числе отечественных и с открытым кодом; применение облачных инструментов и технологий искусственного интеллекта при построении процессов разработки; актуальные риски и построение процесса безопасной разработки (DevSecOps); состояние кадрового рынка для построения DevOps-команд, планов и прогнозов развития DevOps. «Мы пообщались с руководителями компаний, которые поделились инсайтами. Сегментация респондентов была обширной, она включала как руководителей, так и инженеров. В отчете мы сопоставляем точку зрения бизнеса и тех, кто разрабатывает продукты, — объяснил эксперт. — Среди принявших участие в опросе компаний 85% разрабатывают софт для собственных нужд, а 38% — для внешнего использования».

Согласно исследованию, доля организаций, использующих российские решения, выросла с 54% в 2022 году до 77% в 2023-м. С другой стороны, использование иностранных решений снизилось с 90 до 62%. При этом многие компании переходят на собственные разработки из-за уникальных требований или отсутствия подходящих аналогов на рынке. Доля таких организаций выросла с 47 до 68%.

Из барьеров для внедрения отечественных аналогов зарубежного ПО 56% руководителей отмечают незрелость продуктов, 46% — отсутствие опыта работы с ними, 30% — риски локального рынка, что ограничивает потенциал и перспективы развития инструментов. Но более 66% респондентов среди разработчиков и специалистов по безопасности и более 62% среди руководителей и сотрудников DevOps-команд считают, что эти риски снизятся в ближайшей перспективе. 52% компаний полагают, что рынок почти готов или полностью готов к переходу на российский софт.

Максим Кутузов, коммерческий директор платформы «Сфера», поделился: «Компании, особенно из госсектора, нацелены на соблюдение требований регуляторов, и интерес к отечественным решениям быстро растет. Это объясняется вопросами безопасности эксплуатации тех зарубежных продуктов, которые остались на рынке. Мы ожидаем еще больший рост спроса в следующем году, а также, что рынок отечественного софта полностью сформируется за два-три года».

Также вырос спрос на решения с открытым исходным кодом — с 56 до 73%. При этом за год фокус сместился с вопросов замещения и стоимости в практическую плоскость применения. Это значит, что компании уже начали активно использовать внедренные инструменты.

Сергей Зыков, главный научный сотрудник Департамента бизнес-информатики НИУ ВШЭ, отметил, что акцент на открытом программном обеспечении наблюдается как в небольших, так и в крупных компаниях: «Одновременно растет зрелость разработчиков и компаний в понимании процессов, в том числе при внедрении новых технологий, таких как облака и ИИ. DevOps же позволяет упростить и удешевить разработку».

Респонденты из числа менеджеров называют качество разработки (63%) и скорость реализации (61%) задач самыми важными факторами при разработке программного обеспечения. При этом стоимость отходит на второй план (45%).

Опрос среди руководителей показывает, что для них основной проблемой стал дефицит квалифицированных специалистов (42%). Вторая по важности проблема — отсутствие системного подхода к сбору требований (34%). Этот вопрос не потерял актуальности после исследования российского рынка DevOps в 2023 году, при этом проблему отмечают и линейные сотрудники (24%). Однако для них главным барьером стала нехватка автоматизации (36%).

Участники опроса рассказали, как они видят решение задач разработки с помощью DevOps:

• 38% — для снижения себестоимости разработки за счет автоматизации;
• 30% — для улучшения качества тестирования и кода;
• 27% — для снижения расходов на инфраструктуру;
• 26% — для ускорения развертывания приложений;
• 25% — для повышения безопасности разрабатываемых продуктов.

В опросе 2023 года респонденты также называли самыми важными DevOps-инструменты автоматизации рутинных процессов (69%).

Илья Волынкин, CTO кластера MTС Exolve, подчеркнул: «Руководители в первую очередь отмечают нехватку кадров. Инженеры же жалуются на большой объем ручных процессов и недостаточную автоматизацию. При этом проблему с инфраструктурой удалось решить, сейчас она занимает четвертое место и ниже в рейтинге компаний. Руководители и инженеры также выделяют проблему меняющихся требований, и она стала второй по популярности в компаниях. Именно на ее решение должны быть нацелены DevOps-инструменты».

Почти половина компаний (42%) поощряет свободный обмен знаниями и лучшими практиками как внутри команды DevOps, так и с бизнес-заказчиком, что указывает на развитие культуры разработки внутри компаний.

Большая часть процессов DevOps учитывает обратную связь от клиентов, отметили 37% специалистов. В 2023 году этот показатель был более чем в два раза ниже — 19%. При этом высокий уровень доверия и открытости между сотрудниками команды DevOps и бизнес-заказчиком наблюдается в 22% компаний.

Однако пока участники опроса оценили уровень применения DevOps-практик как средний. 38% руководителей оценили его на 3 балла, а еще 35% — на 4 балла по 5-балльной шкале.

Основными сдерживающими факторами для применения DevOps-практик руководители называют незрелость процессов разработки, недостаточное понимание преимуществ перехода к практике DevOps, отсутствие инициативы от руководства, ограничения в бюджете и отсутствие опыта использования таких практик. Если говорить о специалистах, то проблематика другая. Более 30% указывают на неполную совместимость существующих решений с зарубежными.

Аудитория исследования сходится во мнении, что основные вызовы заключаются в необходимости замещать уже привычные инструменты и в обеспечении безопасности разрабатываемых продуктов. Таким образом, наиболее востребованными в ближайшей перспективе могут стать отечественные инструменты DevSecOps.

Андрей Белеванцев, профессор ИСП РАН, объяснил: «Технологии DevSecOps начали развиваться тогда, когда появилась необходимость поддерживать безопасную работу больших программных систем, и как показывает исследование, компании эти технологии уже внедряют. Одна часть запросов связана с качеством анализа систем. Вторая касается интеграции процессов CI/CD (непрерывной интеграции и развертывания). Также у компаний есть запросы на спецификацию SCA (software composition analysis, анализа компонентного состава приложения), чтобы детальнее понимать, как работают приложения».

Применение искусственного интеллекта на всех стадиях жизненного цикла разработки программного обеспечения стало заметным трендом 2023 года. Это объясняется низким входным порогом для специалистов, которые ранее не работали с инструментами ИИ, и эффективностью автоматизации рутинных операций.

ИИ внедряют и в DevOps-практики. Согласно опросу, такие технологии применяются в инструментах, которые связаны с рутинными процессами, в том числе для формирования выборки пользователей для A/B-тестирования и Canary-сборок (40%), оптимизации тестирования (35%), и в рекомендациях по улучшению качества кода (33%).

Артур Галеев, начальник отдела DevOps IBS, отметил, что «на старте компании в сфере ИИ вкладывают большие суммы в исследования и разработку для создания собственных ИИ-моделей». По его словам, «технологии MLOps позволяют оптимизировать этот процесс и влияют на скорость вывода продуктов в области искусственного интеллекта».

DevOps-специалисты называют главными причинами точечного внедрения ИИ нехватку специалистов с опытом работы с такими инструментами (36%) и несовершенство самих инструментов (32%).

Илья Волынкин при этом видит перспективы взаимного внедрения практик DevOps и искусственного интеллекта: «ИИ-технологии начинают использоваться как дополнение к существующим системам анализа. DevOps же начинает применяться к выстраиванию технологий машинного обучения, так как это сложные процессы, требующие отладки. Еще один аспект — доверенный ИИ, который позволит решить проблему отправления данных и ошибок в обучении».

Безопасность — один из ключевых факторов для команд, которые хотят повысить надежность процесса разработки программного обеспечения и самого создаваемого софта. При этом созданием доверенной среды разработки (trusted development environment) занимаются лишь единичные ИТ-команды. Одна из таких — платформа производства программного обеспечения «Сфера», в рамках которой возможно организовать полностью защищенный контур разработки.

Вообще описанная концепция тесно связана с моделью «нулевого доверия», разработанной Джоном Киндервагом в 2010 году. Ее основные принципы: наличие безопасного и подтвержденного доступа ко всем ресурсам, предоставление наименьших привилегий на основе ролей, контроль, верификация и отслеживание всех действий в системе.

Философия DevOps в сочетании с методологией и инструментарием платформы разработки решает задачу создания доверенной среды, помогает автоматизировать процессы, обеспечивать непрерывность и сотрудничество между различными командами, а также тестировать безопасность на ранних этапах разработки.

Облачные технологии также позволяют повысить автоматизацию процессов разработки, масштабируемость и надежность приложений. Однако они требуют особого внимания к безопасности, управлению ресурсами и мониторингу производительности. Именно поэтому только 4% респондентов развертывают DevOps-инструменты только в облачной среде. Подавляющее большинство (69%) используют гибридную инфраструктуру, а 27% — только собственную. 44% респондентов заявили, что у них есть планы по переносу DevOps-инструментов в облако в ближайший год, а еще 40% хотели бы попробовать провести миграцию. При этом 71% специалистов заявил, что отставание отечественных облачных провайдеров от западных несущественно.

При использовании облаков 50% опрошенных выбирают репозитории, а хранение и управление контейнерами используют 42% компаний. В прошлом году об использовании решений типа CaaS (container as a service) заявляли всего 11% респондентов. При этом среди руководителей из облачных решений востребованы аналитические сервисы (47%) и инфраструктура (36%). Специалисты же больше интересуются сервисами хранения данных (40%) и эксплуатации (23%). Облачные сервисы по разработке интересуют всего 17% специалистов и 32% руководителей.

Александр Курасов, business development manager в Yandex Cloud, отметил, что в части безопасности облаков для рынка сейчас основной вопрос заключается не в том, безопасны ли облачные технологии в принципе, а в том, как понять, безопасно ли разворачивать конкретное решение у конкретного облачного провайдера. Есть сильный запрос на прозрачность и экспертизу в части облачной безопасности.

«Что касается DevOps-инфраструктуры в облаках, то мы движемся в соответствии с мировыми тенденциями, где 50% такой инфраструктуры развернуто у облачных провайдеров, — рассказал эксперт. — Из опроса видно, что большинство компаний что-то уже перенесло в облака и продолжает это делать. Сейчас в основном облака используются для хранения информации: там разворачивают репозитории и container registry. CI/CD пока переносят меньше, но это дело ближайшего будущего. Важно отметить, что многие компании идут в облака даже не из-за инструментов или оборудования, а чтобы банально сэкономить человеческие ресурсы. Сервера сейчас купить можно, найти людей намного сложнее».

В ходе опроса респонденты назвали наиболее значимыми показателями при выборе облачной платформы прозрачность внутренних процессов безопасности (50%) и наличие необходимых сертификатов и аттестатов (41%). При этом компании не доверяют безопасность внешним провайдерам без четкой потребности в миграции.

Специалисты DevOps в компаниях используют инструменты поиска уязвимостей (51%), конфиденциальных данных (45%), контроля версий конфигураций инфраструктуры и системных компонентов (39%), а также контроля соответствия политикам (33%) на разных этапах разработки и доставки программного обеспечения. Более 40% специалистов DevSecOps стараются применять практически весь спектр методик. Тем не менее уровень проникновения стандартных практик DevSecOps пока невысокий, например, только 33% респондентов используют спецификацию программного обеспечения (SBOM). Из этого числа 46% используют SBOM для подтверждения соответствия софта определенным стандартам и требованиям безопасности.

В случае с контейнерами наиболее распространенным видом проверок безопасности стала антивирусная: ее выполняют 64% респондентов.

Алексей Рыбалко, специалист по технологиям защиты сред контейнерной разработки «Лаборатории Касперского», считает, что примеры последних инцидентов в России и за рубежом зададут новый тренд кибербезопасности, связанный с настройкой сред разработки и контейнеров: «Обычно компании ограничиваются оценкой конфигураций, но в уже запущенной контейнерной среде защита runtime-процессов не так исследована. Пик интереса в этом году будет приходиться именно на защиту runtime с учетом процессов в контейнере и среды оркестрации. Небольшие компании в этом процессе могут опереться на опыт облачных провайдеров, которые становятся центрами компетенций».

Для применения DevOps нужны квалифицированные специалисты с различными навыками и опытом в области разработки, тестирования, администрирования систем, а также в информационной безопасности. Соискателей отбирают по техническим критериям: hard skills (54%), релевантному опыту (45%) и итогам выполнения задания (45%). Сами же соискатели при поиске работы больше всего смотрят на хорошие отзывы о компании (33%), рекомендации знакомых (28%), наличие интересных задач (22%) и личность руководителя (19%).

Директор по консалтингу «ЭКОПСИ Консалтинг» Виктория Кабакова говорит: «Исследование показывает, что 42% связанных с разработкой проблем вызвано нехваткой кадров или их недостаточной квалификацией. Фактически же мы видим следствие некачественно организованных рабочих процессов. Людей отбирают по „хардам“ — смотрят, насколько они соответствуют техническому профилю, но уходят они из-за „софтов“ — нет метчинга с ценностями компании, не ужились в команде и т. д. А „софты“ на входе не смотрят, например, нанимающие менеджеры и HR проверяют соответствие сотрудников ценностям компании только в 12% случаев. Это говорит о недостаточном внимании к корпоративной культуре, процессам адаптации и развития и, собственно, к рабочим процессам. Решение „кадрового голода“ кроется не только в бесконечном поиске и привлечении лучших, но и в удержании через повышение качества менеджмента и выстраивание сильной корпкультуры, что скажется и на привлекательности бренда работодателя».

В опросе среди проблем высокой текучести кадров в IT опрошенные руководители называют отсутствие роста зарплаты и неудовлетворенность продуктом, в то время как HR-менеджеры выделяют разногласия из-за целей и ценностей компании, а также отношения в команде. При этом 70% компаний уже занимаются формированием стратегии продвижения себя как работодателя, а 67% HR-менеджеров работают с вопросами текучести персонала.