Haluatko välttää tietomurron? Tee DevOps ja anna kehittäjien työskennellä kotoa käsin, Google sanoo

Nopeammat ohjelmistopäivitykset tuova DevOps voisi auttaa estämään tietomurtojen yhteydessä paljastettujen tietueiden lumivyöryn, mutta Googlen tutkimus osoittaa, että nykyiset käytännöt eivät täytä käsillä olevaa tehtävää.   

Google tutki 33,000 XNUMX teknologia-ammattilaista selvittääkseen, kuinka DevOps – mikä tarkoittaa laajasti ohjelmistokehityksen yhdistämistä IT-toimintoihin – vaikuttaa kyberturvallisuuteen osana vuosittaista toimintaansa. Nopeuta DevOps-raportin tilaa. Kuten se huomauttaa, enemmän kuin 22 miljardia ennätystä paljastettiin vuonna 2021 4,145 XNUMX julkisesti tunnetun rikkomuksen kautta.

Raportti tulee, kun australialainen puhelinyhtiö Optus käsittelee valtavan tietomurron seurauksia, jotka paljastivat lähes 10 miljoonan asukkaan henkilökohtaisesti tunnistettavat tiedot (PII) sen jälkeen, kun Internetissä oleva hakkeri valssi läpi sovellusohjelmointirajapinta (API) pilvipalvelussa isännöidyssä päätepisteessä, johon pääsy ei vaadi salasanaa. 

Googlen tutkimus keskittyi ohjelmistojen toimitusketjun turvallisuuteen – tietoturva-alueeseen, joka sai paljon enemmän huomiota SolarWinds-hyökkäyksen vuonna 2020 ja avoimen lähdekoodin Log4Shell-virheen jälkeen tänä vuonna. Nämä kaksi tapausta muuttivat tapaa, jolla teknologiateollisuus hallitsee ohjelmistokehitysprosesseja ja käyttää komponentteja, kuten kirjastoja ja kielipaketteja muissa tuotteissa ja palveluissa.   

DevOps pyrkii nopeuttamaan ohjelmistojulkaisuja säilyttäen samalla laadun ja keskittyy yhä enemmän tietoturvapäivityksiin. Mutta kuinka paljon on muuttunut SolarWinds-rikkomuksen ja Log4Shellin jälkeen?

Arvioikseen tämän Google käytti näkemystään Software Bill of Materials (SBOM) -konseptista, jonka Valkoinen talo kehotti Yhdysvaltain liittovaltion virastoja toteuttamaan vuonna 2021. Toimitusketjun tasot suojatuille esineille (SLSA).

Yksi Googlen keskeisistä ideoista on, että suurissa avoimen lähdekoodin projekteissa kahden kehittäjän tulee allekirjoittaa salauskirjoitus lähdekoodiin tehdyt muutokset. Tämä käytäntö olisi estänyt valtion tukemia hyökkääjiä vaarantamasta SolarWindsin ohjelmiston rakennusjärjestelmää asentamalla implantin, joka ruiskutti takaoven jokaisen uuden asennuksen aikana. Google käytti myös NIST:iä Suojattu ohjelmistokehityskehys (SSDF) kyselyn lähtökohtana. 

Google havaitsi, että 63 % vastaajista käytti sovellustason tietoturvaskannausta osana jatkuvan integroinnin/jatkuvan toimitusjärjestelmän (CI/CD) järjestelmiä tuotantojulkaisuissa. Se havaitsi myös, että useimmat kehittäjät säilyttivät koodihistoriaa ja käyttivät rakennuskomentosarjoja.

Tämä on rauhoittava suuntaus, vaikka alle 50 % harjoitteli kahden henkilön koodimuutosten tarkistusta ja vain 43 % allekirjoitti metatiedot.

"SLSA:n ja SSDF:n sisältämät ohjelmiston toimitusketjun turvakäytännöt ovat jo omaksuneet vaatimattoman, mutta lisää on vielä runsaasti." kertomus päättyy.

Henkilökunnan pitäminen tyytyväisenä voi muuttaa myös turvallisuustuloksia. Google havaitsi, että työnantajat, jotka antoivat henkilöstölle mahdollisuuden hybridityöskentelyyn, menestyivät paremmin ja kärsivät vähemmän työuupumusta.

”Tulokset osoittivat, että organisaatioissa, joissa työntekijöiden joustavuus on korkeampi, organisaation suorituskyky on parempi verrattuna organisaatioihin, joissa työjärjestelyt ovat jäykemmät. Nämä havainnot osoittavat, että työntekijöiden vapaus muuttaa työjärjestelyjä tarpeen mukaan hyödyttää organisaatiota konkreettisesti ja suoraan", Google huomauttaa.   

Google kahlaa hämärälle alueelle ja pyysi vastaajia ennustamaan, kuinka työtyylit vaikuttavat tuleviin virheisiin, pyytämällä heitä ennustamaan tietoturvaloukkauksen tai täydellisen käyttökatkoksen todennäköisyyttä seuraavien 12 kuukauden aikana. 

"Tehokkaissa organisaatioissa työskentelevät ihmiset epätodennäköisemmin odottavat suuren virheen tapahtuvan", Google sanoi.