DevSecOps มาถึงจุดเปลี่ยนในชุมชนส่วนกลางแล้ว จากการสำรวจของ Federal News Network มีการกล่าวกันมานานหลายปีว่าการพัฒนาแบบอไจล์นั้นสำคัญที่สุดเกี่ยวกับบุคลากรและกระบวนการ มันเกี่ยวกับการเปลี่ยนแปลงวัฒนธรรมเป็นอย่างแรก และเทคโนโลยีเป็นอย่างที่สอง Feds ในสาขาไอทีเริ่มรายงานว่าในขณะที่ยังมีอุปสรรคที่ต้องเอาชนะ ก้าวแรกของการเปลี่ยนแปลงวัฒนธรรมได้บรรลุผลสำเร็จแล้ว
“เราทำสิ่งนี้มาระยะหนึ่งแล้ว” ผู้ตอบแบบสำรวจคนหนึ่งกล่าว
“การเปลี่ยนวัฒนธรรมจาก Waterfall เป็น DevSecOps ต้องใช้เวลา แต่ตอนนี้วัฒนธรรมเปลี่ยนไปแล้ว”
DevSecOps เกือบจะถึงจุดอิ่มตัวในสาขาไอทีแล้ว และกำลังเริ่มขยายวงกว้างออกไป เกือบ 70% ของผู้ตอบแบบสอบถามที่ทำงานด้านไอทีกล่าวว่าหน่วยงานของพวกเขาประสบความสำเร็จในการใช้แนวทาง DevSecOps ในการพัฒนาซอฟต์แวร์หรือแอปพลิเคชัน
พนักงานไอทีต่างพูดเป็นเสียงเดียวกันว่าความเร็วของความสามารถใหม่ๆ และระบบอัตโนมัติของกระบวนการที่ซ้ำซ้อนและใช้เวลานานเป็นสองปัจจัยหลักในการตัดสินใจว่าโครงการใดจะได้รับแนวทาง DevSecOps ประมาณ 75% ของผู้ตอบแบบสอบถามระบุปัจจัยทั้งสองนี้
และความล้มเหลวกลายเป็นข้อห้ามน้อยลง ในขณะที่ประมาณ 55% ของผู้ตอบแบบสำรวจยังคง “กังวลมาก” หรือ “ค่อนข้างกังวล” ว่าโปรเจกต์หรือ Sprints จะล้มเหลว คนอื่นๆ กำลังเปิดรับศักยภาพการเรียนรู้ของแนวทาง “ล้มเหลวเร็ว ล้มเหลวบ่อย”
“คาดว่าจะล้มเหลว” ผู้ตอบแบบสอบถามคนหนึ่งกล่าว “Agile คือการพัฒนาอย่างต่อเนื่อง หากปราศจากความล้มเหลวก็ไม่มีอะไรต้องปรับปรุง”และเมื่อโครงการล้มเหลว ผู้ตอบแบบสอบถามชี้ให้เห็นถึงอุปสรรคสำคัญสามประการ:
วัฒนธรรมหน่วยงานโดยรวมขาดการทำงานร่วมกันในหน่วยงาน
การฝึกอบรมการหมุนเวียนของพนักงานและผู้รับเหมา ประกอบกับความล้มเหลวในการฝึกอบรมสิ่งทดแทนอย่างเพียงพอ เป็นสาเหตุหนึ่ง
“เอเจนซี่ต้องการทีมที่ทุ่มเทให้กับ DevSecOps โดยเฉพาะ รวมถึงการทดสอบและพัฒนาอย่างต่อเนื่อง ไม่แน่ใจว่าเรามีเงินทุนสำหรับความต้องการด้านทรัพยากรบุคคล/ทักษะนี้” ผู้ตอบแบบสอบถามคนหนึ่งกล่าว
พนักงานไอทีกล่าวว่าปัญหาด้านการสื่อสารและความล้มเหลวในการแบ่งปันข้อมูลได้ทำให้โครงการตอร์ปิโดและวิ่งอย่างรวดเร็วในอดีต “หน่วยงานขนาดใหญ่พบว่าการทำงานร่วมกันเป็นเรื่องยาก” ผู้ตอบแบบสอบถามคนหนึ่งกล่าว
บางคนเจาะจงมากขึ้น โดยกล่าวว่าพนักงานของรัฐบาลกลางที่อยู่นอกสายงานไอที และโดยเฉพาะอย่างยิ่งในระดับแผนก ยังไม่เข้าใจกระบวนการทั้งหมด
“เรายังคงประสบความสำเร็จต่ำมากในการปรับใช้การอัปเกรดซอฟต์แวร์ เนื่องจากการทดสอบไม่ผ่านข้อกำหนดด้านความปลอดภัยที่คลุมเครือซึ่งกำหนดไว้ที่ระดับแผนก ซึ่งเป็นข้อกำหนดที่ (เข้าใจได้) เปลี่ยนแปลงตลอดเวลา” ผู้ตอบแบบสอบถามรายหนึ่งกล่าว “ฉันไม่พอใจกับระบบทั้งหมดอย่างมากและไม่เห็นวิธีแก้ปัญหา”
“ไอทีถูกนำไปใช้ในระดับแผนกเพียงฝ่ายเดียว และผู้คนที่นั่นก็ไม่รู้หรือสนใจว่าสิ่งใดใช้ได้ผลหรือเหตุใดสิ่งต่าง ๆ จึงเป็นไปตามที่พวกเขาทำ” ผู้ตอบแบบสอบถามอีกคนกล่าว
และผลสำรวจออกมาว่า ในขณะที่ DevSecOps กำลังเริ่มหลั่งไหลออกจากสาขาไอทีและเข้าสู่ส่วนอื่นๆ ของรัฐบาลกลาง ก็ยังห่างไกลจากการบรรลุระดับความอิ่มตัวที่มีอยู่ในไอที มีเพียง 7.5% ของผู้ตอบแบบสอบถามที่ไม่ได้ทำงานด้านไอทีกล่าวว่าพวกเขาคุ้นเคยกับแนวคิดนี้ และมีเพียง 25% เท่านั้นที่กล่าวว่าหน่วยงานของตนกำลังนำแนวคิดนี้ไปใช้จริง อีก 50% ไม่แน่ใจ
และการนำ DevSecOps มาใช้สามารถเชื่อมโยงกับทัศนคติของเอเจนซี่เกี่ยวกับนวัตกรรม ในบรรดาผู้ตอบแบบสอบถามที่ไม่เคยได้ยินเกี่ยวกับ DevSecOps นั้น มีมากกว่าครึ่งเล็กน้อยที่กล่าวว่าหน่วยงานของตนนำกระบวนการทางเทคโนโลยีใหม่หรือที่เป็นนวัตกรรมมาใช้ “เป็นบางครั้ง”
แต่การขาดความรู้นั้นไม่น่าแปลกใจเลย เนื่องจากสองในสามของผู้ตอบแบบสอบถามที่ไม่ใช่ด้านไอทีกล่าวว่าธุรกิจหรือภารกิจของพวกเขา “แทบจะไม่เกี่ยวข้อง” ไม่เกี่ยวข้องเลย หรือไม่แน่ใจว่าพวกเขามีส่วนร่วมในการพัฒนาข้อกำหนดและแผนโครงการสำหรับภายในหรือไม่ หรือบริการเทคโนโลยีภายนอก
“ทุกวันนี้ ผู้จัดการภาคสนามมักไม่ค่อยถูกถามว่าพวกเขาต้องการอะไรสำหรับโครงการไอทีสำคัญๆ ในปัจจุบัน” ผู้ตอบแบบสอบถามคนหนึ่งกล่าว
นอกจากนี้ 2 ใน 3 ของผู้ตอบแบบสอบถามที่ไม่ใช่ด้านไอทียังกล่าวว่าสำนักงานของพวกเขามักไม่ได้รับการตรวจสอบและแสดงความคิดเห็นเกี่ยวกับความสามารถด้านเทคโนโลยีใหม่ที่อยู่ระหว่างการพัฒนาและก่อนที่จะเปิดตัวสู่สาธารณะทั่วไปหรือผู้ชมภายในวงกว้าง