डेटा उल्लंघन को चकमा देना चाहते हैं? Google का कहना है कि DevOps करें और डेवलपर को घर से काम करने दें

DevOps, जो तेजी से सॉफ़्टवेयर अपडेट लाता है, डेटा उल्लंघनों में उजागर रिकॉर्ड के हिमस्खलन को रोकने में मदद कर सकता है, लेकिन Google के शोध में पाया गया है कि मौजूदा अभ्यास हाथ में कार्य को पूरा नहीं करते हैं।   

Google ने 33,000, XNUMX तकनीकी पेशेवरों का सर्वेक्षण यह पता लगाने के लिए किया कि कैसे DevOps - जिसका मोटे तौर पर आईटी संचालन के साथ सॉफ्टवेयर विकास को संरेखित करना है - साइबर सुरक्षा को अपने वार्षिक हिस्से के रूप में प्रभावित करता है DevOps रिपोर्ट की स्थिति में तेजी लाएं. जैसा कि यह नोट करता है, से अधिक 22 बिलियन रिकॉर्ड सार्वजनिक रूप से ज्ञात 2021 उल्लंघनों के माध्यम से 4,145 में उजागर हुए थे।

रिपोर्ट के रूप में ऑस्ट्रेलियाई टेल्को ऑप्टस एक बड़े पैमाने पर उल्लंघन से नतीजे को संभालता है, जिसने लगभग 10 मिलियन निवासियों की व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) को इंटरनेट पर एक हैकर के माध्यम से चलने के बाद उजागर किया। क्लाउड-होस्टेड एंडपॉइंट पर एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस (एपीआई) जिसे एक्सेस करने के लिए पासवर्ड की आवश्यकता नहीं होती है. 

Google का सर्वेक्षण सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा पर केंद्रित था - सुरक्षा का एक क्षेत्र जिस पर 2020 में SolarWinds के हमले और इस वर्ष ओपन-सोर्स Log4Shell दोष के बाद बहुत अधिक ध्यान गया। इन दो मामलों ने तकनीक उद्योग के सॉफ्टवेयर विकास प्रक्रियाओं का प्रबंधन करने और अन्य उत्पादों और सेवाओं के भीतर पुस्तकालयों और भाषा पैकेजों जैसे घटकों का उपयोग करने के तरीके को बदल दिया।   

DevOps का उद्देश्य गुणवत्ता बनाए रखते हुए सॉफ़्टवेयर रिलीज़ में तेजी लाना और सुरक्षा अद्यतनों पर अधिक ध्यान केंद्रित करना है। लेकिन SolarWinds भंग और Log4Shell के बाद से कितना बदल गया है?

इसका अनुमान लगाने के लिए, Google ने सॉफ़्टवेयर बिल ऑफ़ मैटेरियल्स (SBOM) अवधारणा पर अपनी राय का इस्तेमाल किया, जिसे व्हाइट हाउस ने अमेरिकी संघीय एजेंसियों को 2021 में लागू करने का निर्देश दिया, जिसे कहा जाता है सुरक्षित कलाकृतियों के लिए आपूर्ति-श्रृंखला स्तर (एसएलएसए)।

Google के प्रमुख विचारों में से एक यह है कि, प्रमुख ओपन-सोर्स प्रोजेक्ट्स के लिए, दो डेवलपर्स को क्रिप्टोग्राफ़िक रूप से सोर्स कोड में किए गए परिवर्तनों पर हस्ताक्षर करना चाहिए। इस अभ्यास ने राज्य-प्रायोजित हमलावरों को एक इम्प्लांट स्थापित करके सोलरविंड्स के सॉफ़्टवेयर बिल्ड सिस्टम से समझौता करने से रोक दिया होगा जो प्रत्येक नए निर्माण के दौरान पिछले दरवाजे को इंजेक्ट करता है। Google ने एनआईएसटी का भी इस्तेमाल किया सुरक्षित सॉफ्टवेयर विकास ढांचा (SSDF) सर्वेक्षण में आधार रेखा के रूप में। 

Google ने पाया कि 63% उत्तरदाताओं ने उत्पादन रिलीज़ के लिए निरंतर एकीकरण/निरंतर वितरण (CI/CD) सिस्टम के हिस्से के रूप में एप्लिकेशन-स्तरीय सुरक्षा स्कैनिंग का उपयोग किया। यह भी पाया गया कि अधिकांश डेवलपर्स कोड इतिहास को संरक्षित कर रहे थे और बिल्ड स्क्रिप्ट का उपयोग कर रहे थे।

यह एक आश्वस्त करने वाली प्रवृत्ति है, हालांकि 50% से कम कोड परिवर्तनों की दो-व्यक्ति समीक्षाओं का अभ्यास कर रहे थे और केवल 43% मेटाडेटा पर हस्ताक्षर कर रहे थे।

"एसएलएसए और एसएसडीएफ में सन्निहित सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा प्रथाओं को पहले से ही मामूली रूप से अपनाया जा रहा है, लेकिन अधिक के लिए पर्याप्त जगह है," रिपोर्ट का निष्कर्ष.

कर्मचारियों को खुश रखने से सुरक्षा परिणाम भी बदल सकते हैं। Google ने पाया कि जिन नियोक्ताओं ने कर्मचारियों को हाइब्रिड काम करने का विकल्प दिया था, उन्होंने बेहतर प्रदर्शन किया और कम बर्नआउट का सामना करना पड़ा।

"निष्कर्षों से पता चला है कि उच्च स्तर के कर्मचारी लचीलेपन वाले संगठनों में अधिक कठोर कार्य व्यवस्था वाले संगठनों की तुलना में उच्च संगठनात्मक प्रदर्शन होता है। ये निष्कर्ष इस बात का प्रमाण देते हैं कि कर्मचारियों को अपनी कार्य व्यवस्था को आवश्यकतानुसार संशोधित करने की स्वतंत्रता देने से किसी संगठन के लिए ठोस और प्रत्यक्ष लाभ होते हैं, ”Google नोट करता है।   

Google ने उत्तरदाताओं से यह पूर्वानुमान लगाने के लिए कहा कि कार्य शैलियों ने भविष्य की बगों को कैसे प्रभावित किया है, इस संभावना का अनुमान लगाने के लिए कि अगले 12 महीनों में सुरक्षा उल्लंघन या पूर्ण आउटेज होने की संभावना है। 

"उच्च प्रदर्शन करने वाले संगठनों में काम करने वाले लोगों को एक बड़ी त्रुटि होने की उम्मीद कम थी," Google ने कहा।