Möchten Sie einem Datenleck ausweichen? Führen Sie DevOps durch und lassen Sie Entwickler von zu Hause aus arbeiten, sagt Google

DevOps, das schnellere Software-Updates bringt, könnte dazu beitragen, die Lawine von Datensätzen zu verhindern, die bei Datenschutzverletzungen offengelegt werden, aber die Forschung von Google stellt fest, dass bestehende Praktiken die anstehende Aufgabe nicht erfüllen.   

Google hat 33,000 Technikexperten befragt, um herauszufinden, wie sich DevOps – was im Großen und Ganzen bedeutet, die Softwareentwicklung auf den IT-Betrieb auszurichten – im Rahmen seiner jährlichen Umfrage auf die Cybersicherheit auswirkt Accelerate State of DevOps-Bericht. Wie es feststellt, mehr als 22 Milliarden Datensätze wurden im Jahr 2021 durch 4,145 öffentlich bekannte Verstöße aufgedeckt.

Der Bericht kommt, während das australische Telekommunikationsunternehmen Optus die Folgen eines massiven Verstoßes bewältigt, bei dem die personenbezogenen Daten (PII) von fast 10 Millionen Einwohnern offengelegt wurden, nachdem ein Hacker im Internet durch einen gerollt war Anwendungsprogrammierschnittstelle (API) auf einem in der Cloud gehosteten Endpunkt, für den kein Kennwort erforderlich war. 

Die Umfrage von Google konzentrierte sich auf die Sicherheit der Softwarelieferkette – ein Sicherheitsbereich, der nach dem SolarWinds-Angriff im Jahr 2020 und dem Open-Source-Log4Shell-Fehler in diesem Jahr viel mehr Aufmerksamkeit erhielt. Diese beiden Fälle haben die Art und Weise verändert, wie die Technologiebranche Softwareentwicklungsprozesse verwaltet und Komponenten wie Bibliotheken und Sprachpakete in anderen Produkten und Diensten verwendet.   

DevOps zielt darauf ab, Software-Releases bei gleichbleibender Qualität zu beschleunigen und konzentriert sich zunehmend auf Sicherheitsupdates. Aber wie viel hat sich seit der Verletzung von SolarWinds und Log4Shell geändert?

Um dies abzuschätzen, nutzte Google seine Interpretation des Software Bill of Materials (SBOM)-Konzepts, das das Weiße Haus US-Bundesbehörden mit der Umsetzung im Jahr 2021 beauftragt hatte Lieferkettenebenen für sichere Artefakte (SLSA).

Eine der Kernideen von Google ist, dass bei großen Open-Source-Projekten zwei Entwickler Änderungen am Quellcode kryptografisch signieren sollten. Diese Praxis hätte staatlich geförderte Angreifer daran gehindert, das Software-Build-System von SolarWinds zu kompromittieren, indem sie ein Implantat installierten, das bei jedem neuen Build eine Hintertür injizierte. Google verwendete auch die NISTs Sicheres Softwareentwicklungs-Framework (SSDF) als Baseline in der Umfrage. 

Google fand heraus, dass 63 % der Befragten Sicherheitsscans auf Anwendungsebene als Teil von CI/CD-Systemen (Continuous Integration/Continuous Delivery) für Produktionsversionen verwendeten. Es stellte sich auch heraus, dass die meisten Entwickler den Codeverlauf bewahrten und Build-Skripte verwendeten.

Das ist ein beruhigender Trend, obwohl weniger als 50 % Zwei-Personen-Reviews von Codeänderungen praktizierten und nur 43 % Metadaten signierten.

„Sicherheitspraktiken für die Softwarelieferkette, die in SLSA und SSDF verankert sind, werden bereits bescheiden angenommen, aber es gibt viel Raum für mehr.“ Der Bericht schließt.

Die Zufriedenheit der Mitarbeiter kann auch die Sicherheitsergebnisse verändern. Google fand heraus, dass Arbeitgeber, die ihren Mitarbeitern die Möglichkeit des hybriden Arbeitens boten, bessere Leistungen erbrachten und weniger Burnout erlitten.

„Die Ergebnisse zeigten, dass Organisationen mit einem höheren Maß an Mitarbeiterflexibilität im Vergleich zu Organisationen mit starreren Arbeitsregelungen eine höhere organisatorische Leistung aufweisen. Diese Ergebnisse belegen, dass es greifbare und direkte Vorteile für ein Unternehmen hat, Mitarbeitern die Freiheit zu geben, ihre Arbeitsregelungen nach Bedarf zu ändern“, stellt Google fest.   

Google hat sich auf undurchsichtiges Gebiet begeben, indem es die Befragten gebeten hat, vorherzusagen, wie sich Arbeitsstile auf zukünftige Fehler auswirken, indem sie sie gebeten haben, die Wahrscheinlichkeit vorherzusagen, dass eine Sicherheitsverletzung oder ein vollständiger Ausfall in den nächsten 12 Monaten auftreten würde. 

Menschen, die in „leistungsstarken Organisationen“ arbeiten, erwarteten weniger wahrscheinlich, dass ein schwerwiegender Fehler auftritt, sagte Google.