Искате ли да избегнете пробив в данните? Направете DevOps и оставете разработчиците да работят от вкъщи, казва Google

DevOps, който предоставя по-бързи софтуерни актуализации, може да помогне за предотвратяване на лавината от записи, разкрити при пробиви на данни, но изследването на Google установява, че съществуващите практики не отговарят на поставената задача.   

Google анкетира 33,000 XNUMX технически професионалисти, за да проучи как DevOps – което най-общо означава съгласуване на разработката на софтуер с ИТ операциите – влияе върху киберсигурността като част от годишния си Ускорете отчета за състоянието на DevOps. Както се отбелязва, повече от 22 милиарда записа бяха разкрити през 2021 г. чрез 4,145 публично известни нарушения.

Докладът идва, когато австралийската телекомуникационна компания Optus се справя с последствията от масивен пробив, който разкри информацията, позволяваща лично идентифициране (PII) на близо 10 милиона жители, след като хакер в интернет прескочи интерфейс за програмиране на приложения (API) на крайна точка, хоствана в облак, която не изисква парола за достъп. 

Проучването на Google се фокусира върху сигурността на веригата за доставки на софтуер – област на сигурността, която привлече много по-голямо внимание след атаката на SolarWinds през 2020 г. и пропуска с отворен код Log4Shell тази година. Тези два случая промениха начина, по който технологичната индустрия управлява процесите на разработка на софтуер и използва компоненти, като библиотеки и езикови пакети в други продукти и услуги.   

DevOps има за цел да ускори издаването на софтуер, като същевременно поддържа качеството и все повече се фокусира върху актуализациите за сигурност. Но колко се е променило след пробива на SolarWinds и Log4Shell?

За да изчисли това, Google използва възприемането на концепцията за софтуерната спецификация на материалите (SBOM), която Белият дом инструктира на американските федерални агенции да прилагат през 2021 г., т.нар. Нива на веригата за доставки за защитени артефакти (SLSA).

Една от ключовите идеи на Google е, че за големи проекти с отворен код двама разработчици трябва да подписват криптографски промените, направени в изходния код. Тази практика би попречила на атакуващите, спонсорирани от държавата, да компрометират системата за изграждане на софтуера на SolarWinds чрез инсталиране на имплант, който инжектира задна врата по време на всяко ново изграждане. Google също използва NIST Сигурна рамка за разработка на софтуер (SSDF) като базова линия в проучването. 

Google установи, че 63% от респондентите са използвали сканиране за сигурност на ниво приложение като част от системи за непрекъсната интеграция/непрекъснато доставяне (CI/CD) за производствени версии. Той също така установи, че повечето разработчици запазват историята на кода и използват скриптове за изграждане.

Това е успокояваща тенденция, въпреки че по-малко от 50% са практикували прегледи от двама души на промените в кода и само 43% са подписвали метаданни.

„Практиките за сигурност на веригата за доставки на софтуер, въплътени в SLSA и SSDF, вече се възприемат умерено, но има достатъчно място за повече,“ заключава докладът.

Поддържането на персонала доволен може да промени и резултатите за сигурността. Google установи, че работодателите, които дават на персонала възможност за хибридна работа, се представят по-добре и страдат от по-малко прегаряне.

„Констатациите показаха, че организациите с по-високи нива на гъвкавост на служителите имат по-висока организационна производителност в сравнение с организациите с по-строги работни условия. Тези констатации предоставят доказателство, че предоставянето на свободата на служителите да променят работните си договорености според нуждите има осезаеми и преки ползи за организацията“, отбелязва Google.   

Google навлезе в тъмна територия, като помоли респондентите да прогнозират как стиловете на работа се отразяват на бъдещи грешки, като ги помолиха да предвидят вероятността през следващите 12 месеца да настъпи пробив в сигурността или пълно прекъсване. 

Хората, работещи в „високоефективни организации, е по-малко вероятно да очакват да възникне голяма грешка“, каза Google.