Escolar Documentos
Profissional Documentos
Cultura Documentos
Patrocínio
Índice
01 Resumo executivo 03
05 Surpresas 55
Informações
02 Sua equipe está
à altura?
06 demogácas
08
e mogácas 59
Introdução 19
Nuvem 21
08 Agradecimentos 68
SRE e DevOps 26
09
Capacidade técnica de DevOps 29
Autores 69
Cultura 37
suprimentos
é imporante 42
11 Leitura adicional 76
• Desempenho da oganização: se a
oganização consegue cumpi as meas
de desempenho e de lucaividade.
Neste ano, nos aprofundamos mais na segurança estabelecem essas práticas de segurança reduziram
pincipal da nossa pesquisa e elaóio. Usamos o equipes com baixos níveis de práticas de segurança,
amewok Supply Chain Levels o Secue Ariacs a probabilidade de altos níveis de esgotamento
(SLSA) para analisar práticas técnicas que auxiliam no é 1,4 vez maior que nas equipes com altos níveis de
desenvolvimeno dessa seguança. Também usamos o seguança.1 As equipes que estabelecem práticas
Secue Sofwae Developmen Famewok (NIST SSDF) de seguança êm pobabilidade muio maio de
do Insiuo Nacional de Padões e Tecnologia paa ecomenda a pópia equipe aos demais. Além
analisar atitudes, processos e práticas não écnicas disso, as práticas de segurança relacionadas a
1
Nessa esaísica, consideamos "alos níveis" como desvio-padão >= 1 na ponuação (po exemplo, seguança), e "baixos níveis" como
desvio-padão <= -1.
2
Jung, Sun Jae. "Inoducion o Mediaion Analysis and Examples o Is Applicaion o Real-wold Daa." Jounal o pevenive medicine and
public healh = Yebang Uihakhoe chi vol. 54,3 (2021): 166-172. doi:10.3961/jpmph.21.069
3
Caión, Gabiel Cepeda, Chisian Nizl e José L. Roldán. "Mediaion analyses in parial leas squaes sucual equaion modeling:
Guidelines and empiical examples." Parial leas squaes pah modeling. Spinge, Cham, 2017. 173-195.
à altura?
Quer saber como sua equipe se compara às outras O segundo método inclui uma quinta métrica,
empesas do seo? Esa seção inclui a avaliação de conabilidade, que usamos paa enende o
comparativo de mercado mais recente do desempenho desempenho opeacional. Po que adiciona uma
de DevOps. Vamos examina a maneia como as méica nova à análise de agupameno? Poque
equipes desenvolvem, entregam e operam sistemas emos viso consanemene a imporância dela.
de sofwae. Depois vamos dividi as esposas em Temos evidências que sugeem que o desempenho da
gupos que indicam as combinações mais comuns de entrega pode prejudicar o desempenho organizacional
desempenho de DevOps. quando não esá associado a um sólido desempenho
opeacional. Ao conáio do nosso méodo adicional
Ese ano, incluímos dois méodos de agupameno. de agrupamento, este é um exercício descritivo,
O pimeio é baseado no pecedene hisóico. Nese que tenta mostrar maneiras comuns em que as
método, criamos grupos com base em quatro métricas equipes operam entre o desempenho da entrega e o
que indicam o desempenho da enega de sofwae: opeacional. Po isso, não é sempe óbvio qual gupo é
empo de lead, equência de implanação, empo de melho.
esauação do seviço e axa de alha nas aleações. Há
Pimeio vamos ve uma beve visão geal das cinco
um esumo de cada uma abaixo. O objeivo é quanica
medidas que usamos para entender o desempenho
o desempenho aual da sua equipe paa que você possa
opeacional e da enega de sofwae.
compaá-lo a ouas equipes.
Paa aende à demanda dos seoes em evolução, as paa indica a capacidade opeacional. As equipes
oganizações pecisam enega e opea sofwae que se destacam nas cinco medidas demonstram um
de maneia ápida e conável. Quano mais ápido as desempenho oganizacional excepcional. Chamamos
equipes pudeem aze mudanças no sofwae, mais essas cinco medidas de desempenho operacional e
apidamene você conseguiá agega valo aos seus da entega de sofwae (SDO, na sigla em inglês).
clienes, ealiza expeimenos e ecebe eedback. Essas méicas esão elacionadas a esulados no
Com oito anos de coleta e pesquisa de dados, nível do sisema. Isso evia as amadilhas comuns
desenvolvemos e validamos quatro métricas que das méicas de sofwae de aseameno, que
medem o desempenho da enega de sofwae. Desde podem coloca unções umas cona as ouas e aze
2018, incluímos uma quinta métrica oimizações locais ao cuso do esulado geal.
dados mostravam claramente um grupo com baixo que não consideamos nenhum gupo como elie desa
desempenho e ouo com alo desempenho. No vez. O gupo alo dese ano é uma misua dos gupos
entanto, os dois grupos que costumávamos usar para alo e elie do ano passado. Decidimos omii o gupo de
demarcar o desempenho médio e o desempenho alto elie poque o gupo com melho desempenho não indica
não eam dieenciados o suciene paa jusica caaceísicas sucienes da elie do ano passado.
Fequência de implantação Entre uma vez por Entre uma vez Sob demanda
mês e uma vez a por semana e (várias
No caso de aplicaivos ou seviços pincipais em que você abalha, com que
cada seis meses uma vez po mês implanações
equência sua oganização implana códigos na podução ou os libea paa
por dia)
usuáios nais?
Tempo de lead para alterações Ene um mês e Entre uma Entre um dia e
No caso de aplicaivos ou seviços pincipais em que você abalha, qual seis meses semana e um uma semana
é o empo de lead paa aleações (ou seja, quano empo leva paa i da mês
conmação do código à execução do código na podução)?
7%
2018 20%
2019 26%
2021 N/A
2022
Elite Elite Elite Elite
48% 11%
23% Alto
Alto 40%
Alto
Alto
69%
37% 44% Médio
Médio 28%
Médio
Médio
1
Consule a seção "Meodologia" paa
entender como a estimativa é feita
Decidimos aze uma análise po gupos nas ês Achamos que descrever o cenário do desempenho de
categorias que as cinco métricas representam: DevOps sem considerar o desempenho operacional
capacidade de processamento (composto por tempo signica deixa uma pare essencial de oa.
esauação do seviço e axa de alhas nas aleações) quao gupos. Cona os númeos dos quao gupos e
Desempenho
Estabilidade Capacidade de processamento
operacional
Grupo % paricipantes
Tempo de
Taxa de falha nas Fequência de
estauação do Conabilidade Tempo de lead implantação
alterações
serviço
Sob demanda
Geralmente atende (várias 17%
Fluidez Menos de uma hoa 0% a 15% Menos de um dia
às expectativas implanações po
dia)
• Conole de vesões: a oma de geencia madua, com pocessos calcicados que, no m das conas,
aplicaivo, na conguação do sisema ec. (e valiosas) aos usuáios nais. O gupo mosa uma
culua geneaiva e oienada ao desempenho.2 Uma das
• Inegação conínua (CI): a equência de caaceísicas mais ineessanes do gupo Desaceleação
inegação das amicações na linha pincipal é a combinação incomum de baixa capacidade de
processamento e alta cultura de trabalho positiva (uma
• Entrega contínua (CD): capacidades para colocar
culua "geneaiva" segundo Wesum). É mais comum
mudanças em podução de maneia segua,
ver capacidade de processamento e cultura de trabalho
susenável e eciene
popocionais (ambas alas ou baixas). Espeamos pesquisa
2
(Westrum)
mais para entender melhor a elação ene os dois aoes.
melhorar?
O que fazer para melhorar
os vários resultados?
O objetivo do relatório State of DevOps é apresentar
oienações baseadas em evidências, que ajudem sua
equipe a se concentrar em práticas e capacidades
de DevOps e chega aos esulados imporanes paa
vocês. Nese ano, expandimos nossa invesigação
para a segurança e o conjunto de resultados que
as equipes queem. Anes nosso oco eam os
resultados relacionados a desempenho operacional
e da enega de sofwae (SDO, na sigla em inglês) e
desempenho oganizacional. Isso ainda é imporane,
mas também queríamos analisar o esgotamento,
a probabilidade de recomendar a equipe, o trabalho
não planejado e a endência a eos. Não apenas
como maneiras de melhorar o SDO e o desempenho
oganizacional, mas como ns em si mesmos. Po
isso, este ano, destacamos práticas e capacidades
que paecem inuencia esses esulados.
Nuvem
36% 25%
Continuando o movimento que vimos nos últimos
anos, o uso da compuação em nuvem segue
cescendo. De ao, a pocenagem de pessoas
que amam usa a nuvem pública, incluindo váias de aumento no uso de aumento no uso
nuvens, aumenou de 56% em 2021 paa 76% agoa. da nuvem pública da nuvem híbida
Como mostramos nos anos anteriores e continuamos da axa. Esse ao pede uma maio invesigação. Em
a valida nese elaóio, o uso da compuação em vez de especular quanto aos motivos, vamos investigar
nuvem tem um impacto positivo sobre o desempenho melho em pesquisas uuas. Mas, com poucas exceções,
oganizacional em geal. Os paricipanes que usam o uso de aplicativos nativos da nuvem (que foram criados
a nuvem êm pobabilidade 14% maio de alcança e arquitetados para a nuvem) se destacou com sinais
as metas de desempenho organizacional do que os posiivos em udo que pesquisamos.
demais que não a usam. Segundo nossa pesquisa, com
a compuação em nuvem, as equipes se supeam em O uso de qualque plaaoma de compuação em
aspectos como segurança da cadeia de suprimentos nuvem, pública ou privada, contribui positivamente
de sofwae e conabilidade, aoes que levam ao para os resultados de cultura e de ambiente de
desempenho oganizacional. trabalho (por exemplo, cultura generativa, menos
esgoameno, mais esabilidade e maio saisação
Algo surpreendente é que usuários de todos os tipos de
dos uncionáios). Os usuáios da nuvem iveam
nuvem (pública, privada, híbrida e multi) mostraram uma
ponuação 16% maio nesses esulados culuais.
associação negaiva com a axa de alhas nas aleações,
ou seja, um aumento
Vaiação
2022
desde 2021
Disponibilidade
51,59%
47,54%
50%
dos paricipantes amam
usar vários provedores de
Recupeação de desastes 43,48% nuvem
Outros 4,06%
Alteação
NIST 2021 2022
percentual
Elasticidade rápida
Autoatendimen-
to sob demanda
77%
73%
81%
78%
5
7
14%
de aumento no pool
de recursos
Serviço mensurado 78% 83% 7
As equipes de tecnologia bem-sucedidas fazem mais A adoção da SRE esá disseminada nas equipes que
pela oganização do que enega código. Mais aé do que entrevistamos: a maioia dos paricipanes usa uma ou
enega código de qualidade. Elas ambém gaanem que mais das páicas que mencionamos. Nessas vaiadas
os serviços entregues estejam disponíveis, tenham bom equipes, os dados evelam uma elação suil ene a
desempenho e sejam consistentes com as expectativas conabilidade, a enega de sofwae e os esulados:
dos usuáios ao longo do empo. A conabilidade é uma quando há baixa conabilidade, o desempenho da
medida multifacetada da capacidade da equipe que
enega de sofwae não é um bom indicado do sucesso
cumpi esses compomissos. Ese ano, coninuamos
oganizacional. No enano, com uma conabilidade
nossa análise sobe a conabilidade como ao na
melho, começamos a ve uma inuência posiiva da
enega de sofwae e nas opeações.
enega de sofwae sobe o sucesso comecial.
A engenhaia de conabilidade do sie (SRE) é uma inuene
abodagem de opeações. Ela eve oigem no Google e
hoje é paicada em muias oganizações. A SRE pioiza
apendizado empíico, colaboação muliuncional, amplo Sem a conabilidade, o
uso de auomação e o uso de écnicas de medição como
desempenho da entrega
objeivos de nível de seviço (SLOs). Ouas páicas
modenas de opeações usam méodos semelhanes, mas
de sofwae não é um
com nomes dieenes. Po isso, paa avalia a exensão das bom indicador do sucesso
práticas da forma mais objetiva possível, tivemos o cuidado oganizacional.
na pesquisa em usar uma linguagem neutra e descritiva no
exo apesenado aos paricipanes. Também coleamos
dados sobe os esulados da engenhaia de conabilidade:
na medida em queas equipes conseguem cumprir as
meas da áea. O modelo pediivo inclui as enadas e os
esulados (páicas de SRE e esulados de conabilidade),
bem como ouas capacidades de DevOps.
Esse enômeno é consisene com o uso do amewok ou aé mesmo egessões. Mas aqueles que pesisem
"magem de eo" da SRE: quando um seviço não é diane desses desaos alcançam níveis susenados e
conável, não há vanagem paa os usuáios em envia enovados de conquisas elevadas.
código apidamene nesse conexo ágil.
Nossa pesquisa ese ano mosa um padão de cuva J nas
Como os engenheios de conabilidade do sie dizem há equipes de ecnologia que esudamos. Quando as equipes
empos, a conabilidade é o "ecuso" mais imporane de azem menos páicas de engenhaia de conabilidade (o
qualque poduo. Nossa pesquisa susena a obsevação que sugee que esão no início da jonada de adoção da
de que cumprir as promessas aos usuários é necessário SRE), essas páicas não são bons indicadoes de melho
paa que a melhoa na enega de sofwae gee conabilidade. No enano, conome adoam mais a SRE,
beneícios paa a oganização. as equipes chegam a um pono de inexão em que o uso
dela passa a ser indicador da conabilidade e, po sua vez,
Obseve a cuva J do desempenho oganizacional.
¹ https://sre.google/resources/practices-and-processes/
enterprise-roadmap-to-sre/
Inega
Pogama
Enviar
Implana
Loop interno Loop externo Testar
Testar Criar
Lançar
e externo conseguem enviar código de maneira acima mais do que a média êm desempenho
mais ápida e mais conável. As capacidades que oganizacional 3,8 vezes melho que aqueles que não
39%
a podução. Como nos anos aneioes, consaamos que a
maio pobabilidade de CI aumena o desempenho da enega. As equipes com alto
patica a integação desempenho, que cumpem as metas de conabilidade,
contínua
têm pobabilidade 1,4 vez maio de usa CI que as demais.
40%
maio pobabilidade de
vamos ve mais de pero um componene complemena
te sistemas baseados
da inegação conínua: o desenvolvimeno baseado na
em uma arquitetura com
linha pincipal.
acoplamento exível
Devido à mudança demogáca nese ano em emos O povável moivo paa isso é que a implemenação do
de empo de expeiência possional, pecebemos desenvolvimento baseado em linha principal exige mais
que a expeiência é imporane na implemenação do páicas. Quando as equipes não êm egas ígidas
desenvolvimeno baseado em linha pincipal. No ano contra o abandono de linhas principais quebradas,
passado, 40% dos paricipanes amaam e mais não usam amicações de código esias e azem
de 16 anos de expeiência possional, caegoia que evesões auomáicas de código que quebam a linha
epesenou apenas 13% ese ano. Coninuando com o pincipal, ca mais diícil segui essa páica.
tema "a entrega depende", vemos que as pessoas com
menos expeiência êm menos esulados posiivos No entanto, a presença do desenvolvimento
com o desenvolvimeno baseado em linha pincipal. baseado na linha principal mostra um impacto
Consaamos que elas êm esas caaceísicas: positivo sobre o desempenho organizacional em
geal.
Menor desempenho geal da enega de sowae
Maior quanidade de abalho não planejado
Maior popensão a eos
Maior axa de alhas nas aleações
apenas uma das páicas. linha pincipal e a aquieua com acoplameno exível,
quando juntas com a CD, podem prejudicar o desempenho
da equipe. Po exemplo, vimos evidência de que as equipes
que adoam as aquieuas com acoplameno exível e a
Além disso, a pobabilidade de os paricipanes eem maio
CD em conjuno êm pobabilidade 43% maio de anecipa
desempenho da enega de sofwae é 2,5 vezes maio
mais eos do que a média, em compaação às equipes que
quando a equipe deles ambém adoa o conole de vesões.
só adoaam a CD. Esses eos incluem, po exemplo, alhas
A CD pode aumenta o tabalho temporárias de produtos, vulnerabilidades de segurança
não planejado e edução signicaiva de desempenho em sevidoes.
Os dados sugerem que a entrega contínua faz os Esses eeios, que exigem maio invesigação, aponam
desenvolvedores gastarem mais tempo com retrabalho ou a exisência de alguma icção nas equipes que esão
com abalho não planejado. Uma hipóese paa explica melhoando. A icção pode esa elacionada à cuva J da
isso é que os desenvolvedores costumam criar aplicativos ansomação, em que as equipes êm melhoias no início,
de maneia ieaiva quando os loops de eedback são mais mas esmoecem depois que passam dos iens mais áceis.
inegados. Po isso, eles podem considea que algumas É peciso compomeimeno paa alcança odo o poencial
mudanças ieaivas são abalho não planejado na mesma da melhoia. Ao melhoa qualque capacidade, como a CD,
pare do sofwae. Esse abalho pode se, ao mesmo observe os efeitos sobre a equipe e o desempenho
empo, não planejado e moivado pelo eedback de uma em geal.
implanação aneio.
Arquitetura com
acoplamento exível
Os sisemas com acoplameno exível são imporanes
paa a ecácia de equipes e oganizações. Isso não
está restrito a sistemas baseados na nuvem ou em
micosseviços. Tem a ve com a capacidade de muda
da oganização. A acilidade com que uma oganização
consegue muda um sofwae de maneia segua
e conane é indicado da qualidade do sofwae.
com acoplamento exível exível é mais do que uma simples medição da conagem de
seviços no sisema. Os componenes de uma aquieua
As equipes que ciam sofwae com aquieuas com acoplameno exível podem se implanados de
com acoplameno exível esão mais bem maneia independene. Com essa independência, as equipes
posicionadas para ter bom desempenho em conseguem desenvolver, testar e implantar serviços sem os
esabilidade, conabilidade e capacidade de alos gasos de coodenação ene as equipes.
pocessameno. Essas equipes ambém êm
No mundo eal, o acoplameno exível não esá esio a
maior probabilidade de recomendar a empresa
um esilo de aquieua. Taa-se da capacidade de aze
delas a um amigo ou colega.
mudanças em uma pare do sisema sem que elas aeem
É comum que sofwaes que usam uma aquieua
ouas pares. Dessa oma, as oganizações podem dividi
de acoplameno exível sejam ciados po equipes
o trabalho para que cada equipe progrida sem precisar
que implementam na nuvem e usam arquitetura de
coodena com as demais.
micosseviços.
Na nossa expeiência, as equipes que pecisam de
eses de inegação poundos com ouos seviços
paa cona no sofwae anes da implanação ainda não
As equipes que criam
alcançaam o acoplameno exível. Paa isso, as equipes
sofwae com aquieuas com
pecisam melhoa as ineaces e o isolameno ene os
acoplameno exível esão mais sisemas. Uma maneia ecaz de melhoa as ineaces
bem posicionadas para ter bom e o isolamento é melhorar a capacidade de teste dos
Cultura
"Foi assim que sempe zemos as coisas aqui."
Esgotamento
As oganizações com alo
desempenho costumam O esgotamento é um sentimento de medo, apatia
¹ Maslach C, Leiter MP. Understanding the burnout experience: recent research and its implications for psychiatry.
World Psychiatry. 2016 Jun;15(2):103-11. doi: 10.1002/wps.20311. PMID: 27265691; PMCID: PMC4911781.
Nese ano, eplicamos essa consaação e expandimos pobabilidade de have uma violação de seguança
nossa compeensão sobe o assuno, mosando que ou uma ineupção complea nos póximos 12
equipes esáveis e condições exíveis de abalho meses. Segundo os esulados, as pessoas que
ambém esão associadas a menos esgoameno. abalham em oganizações com bom desempenho
Também medimos o Ne Pomoe Scoe (NPS) das esão menos popensas a esima a ocoência de
equipes, que indica se as pessoas recomendam as eos gaves. Elas êm uma pespeciva mais
equipes a amigos ou colegas. Consaamos que o NPS posiiva da oganização. Também consaamos
das equipes esá associado à pecepção da adoção que as pessoas que abalham em oganizações
o esgotamento, descobrimos que, quando há cultura entrega não costumam achar que as
da cadeia de
suprimentos
é imporante mudou udo isso. Quando alguém consegue
invadir milhares de grandes empresas e redes
Em novembo de 2020, poucos possionais de govenamenais sem chama a aenção, usando
tecnologia suspeitavam que uma crise na segurança aualizações de sofwae do ipo cavalo de oia,
da cadeia de supimenos de sofwae esava se os empos mudam apidamene.
apoximando. A Open Souce Secuiy Foundaion,
sucessora de iniciativas anteriores, havia sido fundada Hoje entendemos que o tópico da segurança na
paa cuida da seguança de sofwaes de código cadeia de supimeno de sofwae é essencial.
abero. Havia alguns pontos imporanes para lidar com Talvez não no jana em amília, mas ceramene
o poblema, mas o ópico não esava nas manchees na sala do conselho.
dos pincipais jonais. Um gande aaque, SolarWinds,
02
Neste capítulo, vamos falar sobre duas iniciativas: As culturas mais saudáveis saem na
Supply Chain Levels o Sofwae Ariacs (SLSA, se frente: a cultura organizacional é um
ponuncia "salsa") e NIST Secue Sofwae Developmen moivado imporane paa as páicas
Famewok (SSDF). Ambas oeecem váias medidas de seguança de desenvolvimeno de sofwae.
de defesa para impedir que invasores adulterem os Com maio conança, as culuas "sem culpa" esão
pocessos de podução de sofwae e passem pelas mais propensas a estabelecer práticas de SLSA e
deesas da ede com aualizações maliciosas. SSDF do que as culuas oganizacionais com baixa
conança.
Mas qual é o gau de adoção das páicas de
03
seguança da cadeia de supimenos de sofwae Existe um ponto de integação cucial:
da SLSA e da SSDF? Quais páicas pecisam a adoção dos aspecos écnicos da
de ajuda paa aumena a adoção e quais já são segurança da cadeia de suprimentos de
amplamene usadas? Aé hoje, não havia esposas sofwae paece depende do uso de CI/CD, que
sisemáicas paa essas pegunas. Apesenamos gealmene az a plaaoma de inegação paa
algumas respostas iniciais derivadas de entrevistas muias dessas páicas.
com cenenas de possionais de sofwae sobe
04
as páicas que eles usam nessa áea. Há quao Há beneícios inespeados: além
consaações que se desacam: da edução do isco, as páicas
de seguança melhoes êm ouas
vanagens, como edução do esgoameno.
Avaliações de segu- Uma avaliação de seguança é ealizada paa odos os ecusos pincipais em que eu abalho
rança
Análise/teste contí- Realizamos continuamente análises e testes manuais ou automatizados do código de todas as
nuo do código novas vesões com supore, paa idenica ou conma a pesença de vulneabilidades que não
foram detectadas
Teste de segurança Eu ou outra equipe realizamos testes de segurança no início do processo de desenvolvimento de
inicial sofwae
Lidar com ameaças
Minha oganização em um méodo ecaz paa lida com ameaças à seguança
efetivamente
Integação à equipe
Os papéis de seguança são inegados à nossa equipe de desenvolvimeno de sofwae
de desenvolvimento
Exigência de docu- Nossa oganização em pocessos paa idenica e documena odos os equisios de seguança
mentos do sofwae que desenvolvemos ou adquiimos (incluindo de eceios e de código abero)
Revisão egula dos Os equisios de seguança são evisos a inevalos egulaes (uma vez po ano ou menos se
requisitos necessário)
Geação de Os meadados de build (po exemplo, dependências, pocesso, ambiene) são geados pelo
metadados seviço de build ou po um geado de meadados que lê os dados daquele seviço
Integação ao ciclo Na minha empesa, o poocolo de seguança de sofwae az pare do pocesso de
de desenvolvimento desenvolvimento
Pocesso padão em Na minha empesa, emos um pocesso padonizado paa lida com a seguança do sofwae em
todos os projetos diferentes projetos
Monitoramento dos Monioamos pemanenemene as inomações de ones públicas sobe possíveis
relatórios de segu- vulneabilidades no sofwae que usamos e nos componenes de eceios nesse sofwae
rança
Ter as ferramentas Tenho acesso às ferramentas necessárias para executar testes de segurança
necessárias
CICD cenalizada
Pesevação do hisóico
Script de build
Isolameno
Meadados de paâmeos
Meadados de dependências
Geação de meadados
Bloqueio de enadas
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Pocenagem dos paricipanes
Avaliações de seguança
Inegação ao desenvolvimeno
Exigência de documenos
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Pocenagem dos paricipanes
nos desenvolvedoes e se inecaz, já que as pessoas cultural: as organizações próximas do grupo de cultura
eviam os ponos de icção. Po exemplo, segundo "generativa" de Westrum são mais popensas a estabelece
sofwae possionais, o conao deles com as equipes SLSA¹. Alguns aspecos das culuas geneaivas são ala
pojeo e havia diculdade na ineação ene eles. Nas e apende com os eos. Nossa hipóese é que essas
palavas de um paricipane: "Temos uma equipe de características geram várias práticas saudáveis de seguança.
segurança do aplicativo, mas eles nunca analisaram meu Po exemplo, inceniva os engenheios de sofwae a seem
código… Eu geralmente os evito, como a maioria dos mais proativos sobre a segurança da cadeia de suprimentos,
¹ Um fator interessante é que essas mesmas pessoas não concordaram mais que as outras com as perguntas da NIST SSDF. A SLSA e a
SSDF tratam de aspectos diferentes da segurança de desenvolvimento de aplicativo, mas esperávamos que houvesse sobreposição entre
esses conjuntos de perguntas. Como mencionamos, é possível que haja um viés para as respostas "concordo" na escala da SSDF, o que
explicaria a diferença.
reavaliar se é necessário usá-la antes do build; e 2) o uso da CI/CD (po exemplo, abalha em aplicaivos
evia o longo empo de espea da CI, às vezes váias naivos da nuvem ou em uma gande oganização). Po
esses dados, acreditamos que a cultura organizacional
hoas, apenas paa conma se as mudanças auais
e os processos modernos de desenvolvimento (como
coigiam um poblema de seguança. Em ambos os
a inegação conínua) são os pincipais aoes paa
casos, os engenheios de sofwae disseam que uma
a seguança de desenvolvimeno de aplicaivo. As
"ineupção" de CI é necessáia, mas pode execua
as mesmas oganizações que queem aumena a seguança devem
começa po esses aoes.
Embora o tema de cada relatório seja as respostas esponsáveis po coodena ou oiena a implanação
da pesquisa naquele ano, procuramos entender as das páicas. Oua possibilidade é que houve uma
consaações no conexo de odo o caálogo de mudança no seo ou no mundo. O que uncionava
relatórios State of DevOps e pesquisas adjacentes onem não necessaiamene vai unciona amanhã. Po
(po exemplo, sobe esgoameno e culua). Tesa a exemplo, forças macroeconômicas e mais um ano à
conabilidade desses eeios po meio da eplicação é somba da pandemia de COVID-19 podem e mudado
um aspeco essencial do pogama de pesquisa. Dessa a ísica do DevOps. Po úlimo, mudanças suis no que
forma, podemos ajustar nossas teorias de acordo com incluímos no nosso modelo podem ter alterado as
os dados e enende a evolução ou o sugimeno de elações ene as vaiáveis.¹
endências.
02
os anos. Descobrimos que o desempenho da entrega
de sofwae só aumena o desempenho
Po ouo lado, quando não publicamos a consaação, organizacional quando o desempenho
há o risco de criar um efeito de "armário de arquivo" opeacional ambém é alo. Mas muios paricipanes
em que o que é esperado ou palatável se torna não apesenaam alo desempenho opeacional.
conhecido, e o que é inesperado ou difícil de aguentar Isso conaia nossas pesquisas aneioes, em que a
ca escondido. Nós buscamos um equilíbio: não conexão ene o desempenho da enega de sofwae
queemos sensacionaliza consaações ecenes, mas e o oganizacional esava muio mais claa.
achamos essencial divulgá-las. Aqui esão os aos que
mais nos supeendeam e nossa inepeação deles:
² Kerr, N. L. (1998). HARKing: Hypothesizing after the results are known. Personality and social psychology review, 2(3), 196-217.
³ Rosenthal, R. (1979). The fle drawer problem and tolerance or null results. Psychological bulletin, 86(3), 638.
04
Algumas capacidades técnicas (como é possível aze um sem aze o ouo. Mas, paa que
desenvolvimento baseado em linha principal, o desempenho da enega de sofwae enha impaco
aquieua com acoplameno exível, CI e no desempenho organizacional, é necessário haver
CD) paecem se indicadoes de esgoameno. Como já conabilidade.
mencionamos, muios dos paricipanes desa amosa
06
esão em uma ase aneio da caeia em elação aos Adicionamos práticas da SLSA para
paricipanes dos anos aneioes. Po isso, é possível enende se as equipes esão adoando
que os paricipanes esejam implemenando o ecuso essas abordagens para proteger a cadeia
e não sejam os esponsáveis po cia ou supevisiona de supimenos de sofwae. Havia a expecaiva de
a iniciaiva. O pocesso de implanação pode se mais uma associação ene a implemenação de páicas de
desaado que a supevisão. Queemos pesquisa mais segurança e o desempenho, como uso de capacidades
paa enende melho a consaação. écnicas, melho desempenho da enega de sofwae
e melho desempenho oganizacional. Mas camos
supesos em ve que as páicas de seguança são o
mecanismo com o qual os recursos técnicos afetam
ambos os desempenhos.
4
Jung, Sun Jae. "Introduction to Mediation Analysis and Examples of Its Application to Real-world Data." Journal of preventive medicine and public
health = Yebang Uihakhoe chi vol. 54,3 (2021): 166-172. doi:10.3961/jpmph.21.069
5
Carrión, Gabriel Cepeda, Christian Nitzl e José L. Roldán. "Mediation analyses in partial least squares structural equation modeling: Guidelines and
empirical examples." Partial least squares path modeling. Springer, Cham, 2017. 173-195.
demogácas
e mogácas
Assim como nos anos aneioes, coleamos inomações
demogácas de cada paricipane da pesquisa.
As caegoias incluem gêneo, deciência e gupos
Agradecemos sua
sub-epesenados.
colaboação com nossa
pesquisa e com o setor! Nese ano, obsevamos uma epesenação consisene
com os elaóios aneioes em caegoias mogácas,
incluindo amanho da empesa, seo e egião. Mais de
Quem respondeu 60% dos enevisados abalham como engenheios ou
Com oito anos de pesquisa e respostas de mais nanceios, vaejo e empesas indusiais/de manuaua.
Deciência
11%
Deciência Sim
Gupos sub-epesentados
Gupos sub-epesentados
19%
Sim
Idenica-se como membo de um gupo sub-
epesenado pode se eei a aça, gêneo ou
10%
oua caaceísica. Ese é o quino ano que Peo
pegunamos sobe a ala de epesenaividade. A não dize
2021 2022
41%
33%
27%
25%
20%
18%
13%
8% 11%
3%
Anos de experiência
1%
1%
Dinamarca
Países Baixos 1%
Suécia 1%
4% 8%
Reino Polônia 4%
Canadá
Unido Alemanha
29% 2%
1%
Estados 1% Iália
Japão
Unidos da Porugal 21%
América 8% Índia
2% 3%
1% Espanha Fança 1% Filipinas
México Turquia 1%
2%
1% Singapura
Indonésia
Basil
8% 1%
3%
Outros países com África
Austrália
menos de 1% de parici- do Sul
pantes
Assim como nas pesquisas State of DevOps anteriores, os em oganizações com 500 a 1.999 uncionáios, 15% com
paricipanes vêm de oganizações de váios amanhos. 100 a 499 uncionáios e 15% com 20 a 99 uncionáios.
22% dos enevisados são de empesas com mais de Nese ano, os paricipanes iveam a opção de seleciona
10.000 uncionáios, e 7% são de empesas com 5.000 a "Não sei" sobe o amanho da oganização, e 15%
5 10 15 20 25 30
Tamanho da equipe
o aplicativo principal em que eles abalham. Paa nossa indicassem onde eles implanam.
Conêinees, ex.:
Docke, Kubenees 54%
SaaS 47%
VMs na nuvem 42%
FaaS (unção como seviço), ex.: AWS
Lambda, Google Cloud Funcions 41%
Dispositivos móveis 33%
PaaS (plaaoma como seviço),
ex.: Heoku, App Engine, Elasic Beansalk 32%
Servidores (bare metal) 31%
Hadwae de VM 26%
Soluções comeciais ponas paa uso (COTS,
17%
na sigla em inglês)
Ouos (especique) 2%
nais
ao sugimeno de alguns eeios. Po exemplo, o
Sempre que elaboramos este relatório, procuramos desempenho da enega de sofwae só em impaco
aze uma apesenação igoosa que mose positivo sobre o desempenho organizacional quando
como práticas e capacidades levam a resultados há alo desempenho opeacional (conabilidade), o
essenciais para os negócios, como o desempenho que leva à conclusão de que as oganizações pecisam
oganizacional. Avaliamos se é possível eplica váios de ambos paa e sucesso. Há ambém algumas
efeitos dos relatórios anteriores e estendemos o supesas, que desacamos em uma seção especíca.
escopo do trabalho para as prioridades emergentes
na áea de DevOps. Nese ano, elaboamos a Agradecemos a todos que contribuíram com a pesquisa
pesquisa e a análise para nos aprofundar nas práticas dese ano. Espeamos que nossa pesquisa ajude você e
de seguança. Também aleamos a modelagem sua oganização a cia equipes e sofwaes melhoes,
estatística para analisar a condicionalidade ou sem abi mão do equilíbio ene abalho e vida
dependência de alguns eeios. Também exploamos pessoal.
novas maneiras de descrever o cenário do
desempenho opeacional e da enega de sofwae.
Claire Peters
Dave Farley
Dave Stanke
Derek DeBellis
Kaiyuan "Frank" Xu
Kaiyuan "Fank" Xu é pesquisado em expeiência quaniaiva do usuáio do
Google. Ele analisa logs e dados de pesquisa paa enende os padões de uso e o
eedback dos usuáios sobe os poduos Google Cloud, melhoando a excelência
do poduo paa os desenvolvedoes. Anes do Google, Kaiyuan ealizou po anos
pesquisas qualiaivas e quaniaivas de usuáio na Micosof paa os poduos
Azue Powe Plaom. Ele em mesado em design e engenhaia cenados em
humanos pela Univesidade de Washingon.
Todd Kulesza
expeimenal não é viável ou possível. equipes com baixo e alto desempenho nas quatro
méicas do desempenho da enega. O méodo
é simples. Vamos usa a equência de implanação
População e amostagem
como exemplo. O gupo alo implana sob demanda
A população segmenada paa esa pesquisa oi composa
(ou seja, váias vezes ao dia). Se eles azem quao
po possionais e lídees que usam (ou abalham
implanações po dia em média, o oal é de
com pessoas que usam) ecnologias e ansomações,
1.460 implanações ao ano (4 * 365). Já as equipes
pincipalmene os que esão amiliaizados com
com baixo desempenho implantam de uma vez ao
DevOps. Paa pomove a pesquisa, usamos lisas
mês a uma vez po semese. A equência média
de e-mails, pomoções on-line, um painel on-line e
delas é de uma vez a cada 3,5 meses ou ceca de
mídias sociais. Além disso, pedimos às pessoas que
3,4 implanações ao ano (12/3,5). Dividimos 1.460
comparilhassem a pesquisa nas edes delas (ou seja, com
implanações do gupo alo po 3,4 implanações
amosagem de bolas de neve).
do gupo baixo paa obe o esulado de 417. Essa
Como criar construções latentes abordagem foi generalizada para as demais métricas
Fomulamos nossas hipóeses e consuções usando de desempenho de desenvolvimeno.
consuções validadas aneiomene sempe que
possível. Desenvolvemos novas consuções com base
em eoia, denições e inomações de especialisas.
Depois pocuamos esclaece a inenção paa
aumentar a probabilidade de que os dados coletados na
pesquisa sejam conáveis e válidos.¹
¹ Churchill Jr, G. A. "A paradigm for developing better measures of marketing constructs", Journal of Marketing Research 16:1, (1979), 64–73.
² Murtagh, Fionn e Pierre Legendre. "Ward’s hierarchical agglomerative clustering method: which algorithms implement Ward’s criterion?". Journal
o classifcation 31.3 (2014): 274-295.
³ Charrad M., Ghazzali N., Boiteau V., Niknafs A. (2014). "NbClust: An R Package for Determining the Relevant Number of Clusters in a Data Set".
Journal of Statistical Software, 61(6), 1-36. URL: http://www.jstatsoft.org/v61/i06/
4
Straub, D., Boudreau, M. C., & Gefen, D. (2004). Validation guidelines for IS positivist research. Communications of the Association for Informa-
tion systems, 13(1), 24.
5
Nunnally, J.C. Psychometric Theory. Nova York: McGraw-Hill, 1978
6
Hair Jr, Joseph F., et al. "Partial least squares structural equation modeling (PLS-SEM) using R: A workbook". (2021): 197.
7
Brown, Timothy A. e Michael T. Moore. "Confrmatory actor analysis". Handbook o structural equation modeling 361 (2012): 379.
Análise do segundo
modelo de grupo
Paa enende o que deemina a associação aos
gupos, usamos a egessão logísica mulinomial.9
Usamos essa abodagem poque o objeivo ea
peve a associação aos gupos, que, nese caso,
são dados caegóicos com mais de dois níveis.
Paa enende os esulados pevisos pelas
associações aos gupos, usamos egessão linea
paa cada esulado (esgoameno, abalho não
planejado e desempenho oganizacional).
8
Hair Jr, J. F., Hult, G. T. M., Ringle, C. M., & Sarstedt, M. (2021). "A primer on partial least squares structural equation modeling (PLS-SEM)".
Sage publications.
9
Ripley, Brian, William Venables e Maintainer Brian Ripley. "Package ‘nnet’". Pacote R versão 7.3-12 (2016): 700.
Guidebook tecnológicos
htps://goo.gle/enepise-guidebook htps://goo.gle/3Doh8Km
htps://in-oo.io/