تريد تفادي خرق البيانات؟ افعل DevOps واسمح للمطورين بالعمل من المنزل ، كما تقول Google

يمكن أن تساعد DevOps ، التي توفر تحديثات أسرع للبرامج ، في منع انهيار السجلات المكشوفة في خروقات البيانات ، لكن بحث Google وجد أن الممارسات الحالية لا تفي بالمهمة المطروحة.   

أجرت Google استطلاعًا لـ 33,000 محترف تقني لاستكشاف كيفية تأثير DevOps - وهو ما يعني على نطاق واسع مواءمة تطوير البرامج مع عمليات تكنولوجيا المعلومات - على الأمن السيبراني كجزء من عملها السنوي تسريع تقرير حالة DevOps. كما يلاحظ ، أكثر من 22 مليار سجل في عام 2021 من خلال 4,145 انتهاكًا معروفًا.

يأتي التقرير في الوقت الذي تتعامل فيه شركة الاتصالات الأسترالية Optus مع تداعيات الاختراق الهائل الذي كشف ما يقرب من 10 ملايين من السكان عن معلومات التعريف الشخصية (PII) بعد اختراق أحد المتسللين على الإنترنت عبر موقع واجهة برمجة التطبيقات (API) على نقطة نهاية مستضافة على السحابة لا تتطلب كلمة مرور للوصول إليها. 

ركز الاستطلاع الذي أجرته Google على أمان سلسلة إمداد البرامج - وهو مجال أمان حظي باهتمام أكبر بعد هجوم SolarWinds في عام 2020 وخلل Log4Shell مفتوح المصدر هذا العام. غيرت هاتان الحالتان الطريقة التي تدير بها صناعة التكنولوجيا عمليات تطوير البرمجيات وتستخدم المكونات ، مثل المكتبات وحزم اللغات ضمن المنتجات والخدمات الأخرى.   

تهدف DevOps إلى تسريع إصدارات البرامج مع الحفاظ على الجودة وتركز بشكل متزايد على تحديثات الأمان. ولكن ما مدى التغيير منذ اختراق SolarWinds و Log4Shell؟

لتقدير ذلك ، استخدمت Google وجهة نظرها بشأن مفهوم قانون المواد (SBOM) ، والذي أصدر البيت الأبيض تعليماته إلى الوكالات الفيدرالية الأمريكية لتطبيقه في عام 2021 ، وهو ما يسمى مستويات سلسلة التوريد للقطع الأثرية الآمنة (SLSA).

تتمثل إحدى الأفكار الرئيسية لشركة Google في أنه ، بالنسبة للمشاريع الرئيسية مفتوحة المصدر ، يجب على مطورين توقيع التغييرات التي تم إجراؤها على شفرة المصدر بشكل مشفر. كانت هذه الممارسة ستمنع المهاجمين الذين ترعاهم الدولة من المساس بنظام بناء برامج SolarWinds عن طريق تثبيت غرسة تحقن بابًا خلفيًا أثناء كل بناء جديد. استخدمت Google أيضًا NIST's إطار عمل تطوير البرمجيات الآمن (SSDF) كخط أساس في المسح. 

اكتشفت Google أن 63٪ من المستجيبين استخدموا الفحص الأمني ​​على مستوى التطبيق كجزء من أنظمة التكامل المستمر / التسليم المستمر (CI / CD) لإصدارات الإنتاج. ووجد أيضًا أن معظم المطورين كانوا يحتفظون بمحفوظات الكود ويستخدمون برامج نصية للبناء.

هذا اتجاه مطمئن ، على الرغم من أن أقل من 50٪ كانوا يمارسون مراجعات من شخصين لتغييرات التعليمات البرمجية و 43٪ فقط كانوا يوقعون البيانات الوصفية.

"ممارسات أمان سلسلة إمداد البرامج المضمنة في SLSA و SSDF تشهد بالفعل اعتمادًا متواضعًا ، ولكن هناك مجالًا واسعًا للمزيد ،" ويخلص التقرير.

يمكن أن يؤدي إسعاد الموظفين إلى تغيير النتائج الأمنية أيضًا. وجدت Google أن أصحاب العمل الذين أعطوا الموظفين خيار العمل الهجين كان أداؤهم أفضل وعانوا من انخفاض الإرهاق.

أظهرت النتائج أن المؤسسات التي تتمتع بمستويات أعلى من مرونة الموظفين تتمتع بأداء تنظيمي أعلى مقارنة بالمنظمات التي لديها ترتيبات عمل أكثر صرامة. تقدم هذه النتائج دليلاً على أن منح الموظفين حرية تعديل ترتيبات عملهم حسب الحاجة له ​​فوائد ملموسة ومباشرة للمؤسسة ، "تلاحظ Google.   

خاضت Google في منطقة غامضة حيث طلبت من المستجيبين التنبؤ بكيفية تأثير أنماط العمل على الأخطاء المستقبلية من خلال مطالبتهم بالتنبؤ باحتمالية حدوث خرق أمني أو انقطاع كامل خلال الـ 12 شهرًا القادمة. 

وقالت جوجل إن الأشخاص الذين يعملون في "المؤسسات عالية الأداء هم أقل عرضة لتوقع حدوث خطأ كبير".