Chcete se vyhnout úniku dat? Dělejte DevOps a nechte vývojáře pracovat z domova, říká Google

DevOps, který přináší rychlejší aktualizace softwaru, by mohl pomoci zabránit lavině záznamů odhalených při narušení dat, ale výzkum společnosti Google zjistil, že stávající postupy nesplňují daný úkol.   

Společnost Google provedla průzkum mezi 33,000 XNUMX technologickými profesionály, aby prozkoumala, jak DevOps – což v podstatě znamená sladění vývoje softwaru s provozem IT – ovlivňuje kybernetickou bezpečnost v rámci svého ročního Zrychlete zprávu o stavu DevOps. Jak poznamenává, více než 22 miliard záznamů byly v roce 2021 odhaleny prostřednictvím 4,145 XNUMX veřejně známých porušení.

Zpráva přichází v době, kdy australská telekomunikační společnost Optus řeší následky masivního narušení, které odhalilo téměř 10 milionů obyvatel osobně identifikovatelných informací (PII) poté, co hacker na internetu prošel aplikační programovací rozhraní (API) na koncovém bodu hostovaném v cloudu, který pro přístup nevyžadoval heslo. 

Průzkum společnosti Google se zaměřil na zabezpečení dodavatelského řetězce softwaru – oblast zabezpečení, která získala mnohem větší pozornost po útoku SolarWinds v roce 2020 a letos po chybě Log4Shell s otevřeným zdrojovým kódem. Tyto dva případy změnily způsob, jakým technický průmysl řídí procesy vývoje softwaru a používá komponenty, jako jsou knihovny a jazykové balíčky v rámci jiných produktů a služeb.   

DevOps si klade za cíl urychlit vydávání softwaru při zachování kvality a stále více se zaměřuje na aktualizace zabezpečení. Ale kolik se toho změnilo od porušení SolarWinds a Log4Shell?

K odhadu toho Google použil svůj pohled na koncept Software Bill of Materials (SBOM), který Bílý dům nařídil federálním agenturám USA implementovat v roce 2021, tzv. Úrovně dodavatelského řetězce pro bezpečné artefakty (SLSA).

Jednou z klíčových myšlenek Google je, že u velkých open source projektů by dva vývojáři měli kryptograficky podepsat změny provedené ve zdrojovém kódu. Tato praxe by zabránila státem sponzorovaným útočníkům v kompromitování systému sestavování softwaru SolarWinds instalací implantátu, který by při každém novém sestavení injektoval zadní vrátka. Google také používal NIST Secure Software Development Framework (SSDF) jako základ v průzkumu. 

Google zjistil, že 63 % respondentů používá bezpečnostní skenování na úrovni aplikace jako součást systémů kontinuální integrace/průběžného doručování (CI/CD) pro produkční verze. Zjistilo se také, že většina vývojářů uchovávala historii kódu a používala skripty sestavení.

To je uklidňující trend, ačkoli méně než 50 % provádělo kontrolu změn kódu dvěma osobami a pouze 43 % podepisovalo metadata.

„Postupy zabezpečení dodavatelského řetězce softwaru ztělesněné v SLSA a SSDF již zaznamenaly mírné přijetí, ale je zde dostatek prostoru pro další,“ končí zpráva.

Udržování spokojenosti zaměstnanců může také změnit výsledky zabezpečení. Google zjistil, že zaměstnavatelé, kteří dali zaměstnancům možnost hybridní práce, dosahovali lepších výsledků a trpěli nižším vyhořením.

„Zjištění ukázala, že organizace s vyšší úrovní flexibility zaměstnanců mají vyšší organizační výkonnost ve srovnání s organizacemi s přísnějšími uspořádáními práce. Tato zjištění poskytují důkazy o tom, že poskytnutí svobody zaměstnancům upravovat svá pracovní uspořádání podle potřeby má pro organizaci hmatatelné a přímé výhody,“ poznamenává Google.   

Google se vnořil do temného území a požádal respondenty, aby předpověděli, jak styly práce ovlivní budoucí chyby, a požádal je, aby předpověděli pravděpodobnost, že během příštích 12 měsíců dojde k narušení bezpečnosti nebo úplnému výpadku. 

Lidé pracující ve vysoce výkonných organizacích s menší pravděpodobností očekávali, že dojde k závažné chybě, uvedl Google.