Ingin menghindari pelanggaran data? Lakukan DevOps dan biarkan pengembang bekerja dari rumah, kata Google

DevOps, yang menghadirkan pembaruan perangkat lunak yang lebih cepat, dapat membantu mencegah longsoran catatan yang terungkap dalam pelanggaran data, tetapi penelitian Google menemukan bahwa praktik yang ada tidak memenuhi tugas yang ada.   

Google mensurvei 33,000 pro teknologi untuk mengeksplorasi bagaimana DevOps — yang secara luas berarti menyelaraskan pengembangan perangkat lunak dengan operasi TI — berdampak pada keamanan siber sebagai bagian dari program tahunannya. Mempercepat Laporan Status DevOps. Seperti yang dicatat, lebih dari 22 miliar catatan terungkap pada tahun 2021 melalui 4,145 pelanggaran yang diketahui publik.

Laporan itu muncul saat perusahaan telekomunikasi Australia Optus menangani dampak dari pelanggaran besar-besaran yang mengekspos hampir 10 juta informasi identitas pribadi (PII) penduduk setelah seorang peretas di internet melenggang melalui sebuah antarmuka pemrograman aplikasi (API) pada titik akhir yang dihosting cloud yang tidak memerlukan kata sandi untuk mengakses. 

Survei Google berfokus pada keamanan rantai pasokan perangkat lunak — area keamanan yang mendapat perhatian lebih dekat setelah serangan SolarWinds pada tahun 2020 dan kelemahan Log4Shell sumber terbuka tahun ini. Kedua kasus ini mengubah cara industri teknologi mengelola proses pengembangan perangkat lunak dan menggunakan komponen, seperti perpustakaan dan paket bahasa dalam produk dan layanan lain.   

DevOps bertujuan untuk mempercepat rilis perangkat lunak dengan tetap menjaga kualitas dan semakin berfokus pada pembaruan keamanan. Tapi berapa banyak yang berubah sejak pelanggaran SolarWinds dan Log4Shell?

Untuk memperkirakan ini, Google menggunakan konsep Software Bill of Materials (SBOM), yang Gedung Putih instruksikan untuk diterapkan oleh badan federal AS pada tahun 2021, disebut Tingkat Rantai Pasokan untuk Artefak Aman (SLSA).

Salah satu ide utama Google adalah, untuk proyek sumber terbuka besar, dua pengembang harus menandatangani perubahan yang dibuat pada kode sumber secara kriptografis. Praktik ini akan menghentikan penyerang yang disponsori negara untuk mengkompromikan sistem pembuatan perangkat lunak SolarWinds dengan memasang implan yang menyuntikkan pintu belakang selama setiap pembuatan baru. Google juga menggunakan NIST Kerangka Pengembangan Perangkat Lunak Aman (SSDF) sebagai dasar dalam survei. 

Google menemukan bahwa 63% responden menggunakan pemindaian keamanan tingkat aplikasi sebagai bagian dari sistem continuous integration/continuous delivery (CI/CD) untuk rilis produksi. Itu juga menemukan bahwa sebagian besar pengembang mempertahankan riwayat kode dan menggunakan skrip build.

Itu tren yang meyakinkan, meskipun kurang dari 50% yang mempraktikkan ulasan dua orang tentang perubahan kode dan hanya 43% yang menandatangani metadata.

“Praktik keamanan rantai pasokan perangkat lunak yang diwujudkan dalam SLSA dan SSDF sudah terlihat adopsi yang sederhana, tetapi ada banyak ruang untuk lebih,” laporan selesai.

Membuat staf senang juga dapat mengubah hasil keamanan. Google menemukan bahwa majikan yang memberi staf pilihan pekerjaan hibrida berkinerja lebih baik dan mengalami kelelahan yang lebih rendah.

“Temuan menunjukkan bahwa organisasi dengan tingkat fleksibilitas karyawan yang lebih tinggi memiliki kinerja organisasi yang lebih tinggi dibandingkan dengan organisasi dengan pengaturan kerja yang lebih kaku. Temuan ini memberikan bukti bahwa memberikan kebebasan kepada karyawan untuk mengubah pengaturan kerja mereka sesuai kebutuhan memiliki manfaat nyata dan langsung bagi organisasi,” catat Google.   

Google mengarungi wilayah keruh dengan meminta responden untuk memperkirakan bagaimana gaya kerja memengaruhi bug di masa depan dengan meminta mereka untuk memprediksi kemungkinan pelanggaran keamanan atau pemadaman total akan terjadi selama 12 bulan ke depan. 

Orang yang bekerja di "organisasi berkinerja tinggi cenderung tidak mengharapkan kesalahan besar terjadi," kata Google.