Θέλετε να αποφύγετε μια παραβίαση δεδομένων; Κάντε DevOps και αφήστε τους προγραμματιστές να εργάζονται από το σπίτι, λέει η Google

Το DevOps, το οποίο φέρνει πιο γρήγορες ενημερώσεις λογισμικού, θα μπορούσε να βοηθήσει στην πρόληψη της χιονοστιβάδας των αρχείων που εκτίθενται σε παραβιάσεις δεδομένων, αλλά η έρευνα της Google διαπιστώνει ότι οι υπάρχουσες πρακτικές δεν ανταποκρίνονται στο συγκεκριμένο έργο.   

Η Google ερεύνησε 33,000 επαγγελματίες τεχνολογίας για να διερευνήσει πώς το DevOps — που σημαίνει γενικά ευθυγράμμιση της ανάπτυξης λογισμικού με τις λειτουργίες πληροφορικής — επηρεάζει την ασφάλεια στον κυβερνοχώρο ως μέρος του ετήσιου Αναφορά επιτάχυνσης κατάστασης DevOps. Όπως σημειώνει, περισσότερα από 22 δισεκατομμύρια ρεκόρ αποκαλύφθηκαν το 2021 μέσω 4,145 δημοσίως γνωστών παραβιάσεων.

Η έκθεση έρχεται καθώς η αυστραλιανή τηλεπικοινωνιακή εταιρεία Optus χειρίζεται τις συνέπειες μιας τεράστιας παραβίασης που αποκάλυψε σχεδόν 10 εκατομμύρια στοιχεία προσωπικής ταυτοποίησης (PII) μετά από έναν χάκερ στο Διαδίκτυο. διεπαφή προγραμματισμού εφαρμογών (API) σε ένα τελικό σημείο που φιλοξενείται στο σύννεφο που δεν απαιτούσε κωδικό πρόσβασης για πρόσβαση. 

Η έρευνα της Google επικεντρώθηκε στην ασφάλεια της αλυσίδας εφοδιασμού λογισμικού — ένας τομέας ασφάλειας που τράβηξε πολύ μεγαλύτερη προσοχή μετά την επίθεση SolarWinds το 2020 και το ελάττωμα ανοιχτού κώδικα Log4Shell φέτος. Αυτές οι δύο περιπτώσεις άλλαξαν τον τρόπο με τον οποίο η βιομηχανία τεχνολογίας διαχειρίζεται τις διαδικασίες ανάπτυξης λογισμικού και χρησιμοποιεί στοιχεία, όπως βιβλιοθήκες και πακέτα γλώσσας σε άλλα προϊόντα και υπηρεσίες.   

Το DevOps στοχεύει να επιταχύνει τις εκδόσεις λογισμικού διατηρώντας παράλληλα την ποιότητα και εστιάζει όλο και περισσότερο στις ενημερώσεις ασφαλείας. Αλλά πόσο έχει αλλάξει από την παραβίαση του SolarWinds και το Log4Shell;

Για να το εκτιμήσει αυτό, η Google χρησιμοποίησε την άποψή της σχετικά με την έννοια του Software Bill of Materials (SBOM), την οποία ο Λευκός Οίκος έδωσε εντολή στις ομοσπονδιακές υπηρεσίες των ΗΠΑ να εφαρμόσουν το 2021. Επίπεδα εφοδιαστικής αλυσίδας για ασφαλή τεχνουργήματα (SLSA).

Μία από τις βασικές ιδέες της Google είναι ότι, για μεγάλα έργα ανοιχτού κώδικα, δύο προγραμματιστές θα πρέπει να υπογράφουν κρυπτογραφικά τις αλλαγές που έγιναν στον πηγαίο κώδικα. Αυτή η πρακτική θα εμπόδιζε τους επιτιθέμενους που χρηματοδοτούνται από το κράτος από το να διακινδυνεύουν το σύστημα κατασκευής λογισμικού της SolarWinds εγκαθιστώντας ένα εμφύτευμα που εισήγαγε μια κερκόπορτα κατά τη διάρκεια κάθε νέας κατασκευής. Η Google χρησιμοποίησε επίσης τα NIST Ασφαλές Πλαίσιο Ανάπτυξης Λογισμικού (SSDF) ως βάση στην έρευνα. 

Η Google διαπίστωσε ότι το 63% των ερωτηθέντων χρησιμοποίησε σάρωση ασφαλείας σε επίπεδο εφαρμογής ως μέρος συστημάτων συνεχούς ενοποίησης/συνεχούς παράδοσης (CI/CD) για εκδόσεις παραγωγής. Διαπίστωσε επίσης ότι οι περισσότεροι προγραμματιστές διατηρούσαν το ιστορικό κώδικα και χρησιμοποιούσαν σενάρια κατασκευής.

Αυτή είναι μια καθησυχαστική τάση, αν και λιγότερο από το 50% ασκούσαν αναθεωρήσεις αλλαγών κώδικα από δύο άτομα και μόνο το 43% υπέγραφε μεταδεδομένα.

"Οι πρακτικές ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού που ενσωματώνονται στο SLSA και στο SSDF έχουν ήδη υιοθετηθεί μέτρια, αλλά υπάρχει αρκετός χώρος για περισσότερα." the report concludes.

Η διατήρηση του προσωπικού ευχαριστημένου μπορεί να αλλάξει και τα αποτελέσματα ασφάλειας. Η Google διαπίστωσε ότι οι εργοδότες που έδωσαν στο προσωπικό την επιλογή της υβριδικής εργασίας είχαν καλύτερες επιδόσεις και υπέστησαν χαμηλότερη εξάντληση.

«Τα ευρήματα έδειξαν ότι οι οργανισμοί με υψηλότερα επίπεδα ευελιξίας εργαζομένων έχουν υψηλότερη οργανωτική απόδοση σε σύγκριση με οργανισμούς με πιο άκαμπτες ρυθμίσεις εργασίας. Αυτά τα ευρήματα παρέχουν αποδείξεις ότι το να δοθεί στους εργαζόμενους η ελευθερία να τροποποιούν τις ρυθμίσεις εργασίας τους όπως απαιτείται έχει απτά και άμεσα οφέλη για έναν οργανισμό», σημειώνει η Google.   

Η Google μπήκε σε μια σκοτεινή περιοχή ζητώντας από τους ερωτηθέντες να προβλέψουν πώς το στυλ εργασίας επηρέαζε τα μελλοντικά σφάλματα, ζητώντας τους να προβλέψουν την πιθανότητα παραβίασης ασφάλειας ή πλήρους διακοπής λειτουργίας τους επόμενους 12 μήνες. 

Τα άτομα που εργάζονται σε «οργανισμούς υψηλής απόδοσης ήταν λιγότερο πιθανό να περιμένουν να συμβεί ένα σημαντικό σφάλμα», είπε η Google.