Vil du undgå et databrud? Lav DevOps og lad udviklere arbejde hjemmefra, siger Google

DevOps, som bringer hurtigere softwareopdateringer, kan hjælpe med at forhindre lavinen af ​​optegnelser, der er afsløret i databrud, men Googles forskning viser, at eksisterende praksis ikke opfylder opgaven.   

Google undersøgte 33,000 tekniske professionelle for at undersøge, hvordan DevOps – hvilket i store træk betyder at tilpasse softwareudvikling til IT-drift – påvirker cybersikkerhed som en del af dets årlige Accelerate State of DevOps-rapport. Som det bemærkes, mere end 22 milliarder poster blev afsløret i 2021 gennem 4,145 offentligt kendte brud.

Rapporten kommer, da det australske teleselskab Optus håndterer nedfaldet fra et massivt brud, der afslørede næsten 10 millioner indbyggeres personligt identificerbare oplysninger (PII), efter at en hacker på internettet valsede gennem en Application Programming Interface (API) på et cloud-hostet slutpunkt, der ikke krævede en adgangskode for at få adgang. 

Googles undersøgelse fokuserede på softwareforsyningskædesikkerhed - et sikkerhedsområde, der fik meget tættere opmærksomhed efter SolarWinds-angrebet i 2020 og open source Log4Shell-fejlen i år. Disse to tilfælde ændrede den måde, teknologiindustrien styrer softwareudviklingsprocesser på og bruger komponenter, såsom biblioteker og sprogpakker inden for andre produkter og tjenester.   

DevOps sigter mod at accelerere softwareudgivelser og samtidig opretholde kvaliteten og fokuserer i stigende grad på sikkerhedsopdateringer. Men hvor meget har ændret sig siden SolarWinds-bruddet og Log4Shell?

For at vurdere dette brugte Google sin opfattelse af Software Bill of Materials (SBOM) konceptet, som Det Hvide Hus instruerede amerikanske føderale agenturer om at implementere i 2021, kaldet Supply-chain niveauer for sikre artefakter (SLSA).

En af Googles nøgleideer er, at to udviklere til større open source-projekter skal underskrive ændringer i kildekoden kryptografisk. Denne praksis ville have forhindret statssponsorerede angribere i at kompromittere SolarWinds' softwarebyggesystem ved at installere et implantat, der injicerede en bagdør under hver nybygning. Google brugte også NIST'erne Sikker softwareudviklingsramme (SSDF) som udgangspunkt i undersøgelsen. 

Google fandt ud af, at 63 % af de adspurgte brugte sikkerhedsscanning på applikationsniveau som en del af systemer til kontinuerlig integration/kontinuerlig levering (CI/CD) til produktionsudgivelser. Det fandt også ud af, at de fleste udviklere bevarede kodehistorikken og brugte build-scripts.

Det er en betryggende tendens, selvom mindre end 50 % øvede sig på to-personers gennemgang af kodeændringer, og kun 43 % signerede metadata.

"Sikkerhedspraksis for softwareforsyningskæden, der er inkorporeret i SLSA og SSDF, er allerede blevet vedtaget beskedent, men der er rigelig plads til mere," konkluderer rapporten.

At holde personale glade kan også ændre sikkerhedsresultater. Google fandt ud af, at arbejdsgivere, der gav personalet mulighed for hybridarbejde, klarede sig bedre og led mindre udbrændthed.

"Resultater viste, at organisationer med højere niveauer af medarbejderfleksibilitet har højere organisatoriske præstationer sammenlignet med organisationer med mere rigide arbejdsordninger. Disse resultater viser, at det at give medarbejderne frihed til at ændre deres arbejdsordninger efter behov har håndgribelige og direkte fordele for en organisation," bemærker Google.   

Google vadede ind i dunkelt territorium for at bede respondenterne om at forudsige, hvordan arbejdsstile påvirkede fremtidige fejl ved at bede dem om at forudsige sandsynligheden for, at et sikkerhedsbrud eller et fuldstændigt nedbrud ville forekomme i løbet af de næste 12 måneder. 

Folk, der arbejder i "højtydende organisationer, var mindre tilbøjelige til at forvente, at der ville opstå en større fejl," sagde Google.