רוצה להתחמק מפרצת נתונים? עשה DevOps ואפשר למפתחים לעבוד מהבית, אומרת גוגל

ZDNet
ספטמבר 29
שתף פוסט

DevOps, שמביאה עדכוני תוכנה מהירים יותר, עשויה לסייע במניעת מפולת הרשומות שנחשפו בפרצות נתונים, אך המחקר של גוגל מגלה ששיטות העבודה הקיימות אינן עומדות במשימה שעל הפרק.

גוגל סקר 33,000 אנשי מקצוע טכנולוגיים כדי לחקור כיצד DevOps - שפירושו באופן כללי התאמה בין פיתוח תוכנה לתפעול IT - משפיע על אבטחת הסייבר כחלק מהשנתית שלה. האצה של דוח DevOps. כפי שהוא מציין, יותר מ 22 מיליארד שיאים נחשפו בשנת 2021 באמצעות 4,145 הפרות ידועות בציבור.

הדו"ח מגיע בזמן שהטלקו האוסטרלי Optus מטפל בנשורת הפרצה מאסיבית שחשפה כמעט 10 מיליון תושבים מידע אישי מזהה (PII) לאחר שהאקר באינטרנט עבר דרך ממשק תכנות יישומים (API) בנקודת קצה המתארחת בענן שלא דרשה סיסמה כדי לגשת אליה.

הסקר של גוגל התמקד באבטחת שרשרת אספקת התוכנה - תחום אבטחה שזכה לתשומת לב רבה יותר לאחר מתקפת SolarWinds בשנת 2020 והפגם בקוד פתוח ב-Log4Shell השנה. שני המקרים הללו שינו את האופן שבו תעשיית הטכנולוגיה מנהלת תהליכי פיתוח תוכנה ומשתמשת ברכיבים, כגון ספריות וחבילות שפה בתוך מוצרים ושירותים אחרים.

DevOps שואפת להאיץ את מהדורות התוכנה תוך שמירה על איכות ומתמקדת יותר ויותר בעדכוני אבטחה. אבל כמה השתנה מאז פריצת SolarWinds ו-Log4Shell?

כדי להעריך זאת, גוגל השתמשה בתפיסה של תוכנת Bill of Materials (SBOM), שהבית הלבן הורה לסוכנויות הפדרליות בארה"ב ליישם ב-2021, שנקרא רמות שרשרת האספקה עבור חפצים מאובטחים (SLSA).

אחד הרעיונות המרכזיים של גוגל הוא שבפרויקטים גדולים של קוד פתוח, שני מפתחים צריכים לחתום באופן קריפטוגרפי על שינויים שבוצעו בקוד המקור. תרגול זה היה מונע מתוקפים בחסות המדינה להתפשר על מערכת בניית התוכנה של SolarWinds על ידי התקנת שתל שהחדיר דלת אחורית במהלך כל בנייה חדשה. גוגל השתמשה גם ב-NIST's מסגרת פיתוח תוכנה מאובטחת (SSDF) כבסיס בסקר.

גוגל מצאה כי 63% מהמשיבים השתמשו בסריקת אבטחה ברמת האפליקציה כחלק ממערכות אינטגרציה מתמשכת/משלוח רציף (CI/CD) עבור מהדורות ייצור. זה גם מצא שרוב המפתחים שימרו היסטוריית קוד ומשתמשים בסקריפטים לבנייה.

זו מגמה מרגיעה, למרות שפחות מ-50% תרגלו ביקורות של שני אנשים על שינויי קוד ורק 43% חתמו על מטא נתונים.

"נוהלי אבטחת שרשרת האספקה של תוכנה המגולמים ב-SLSA ו-SSDF כבר רואים אימוץ צנוע, אבל יש מספיק מקום לעוד." מסכם הדו"ח.

שמירה על נחת הצוות יכולה לשנות גם את תוצאות האבטחה. גוגל מצאה שמעסיקים שנתנו לעובדים את האפשרות לעבוד היברידית עשו ביצועים טובים יותר וסבלו משחיקה נמוכה יותר.

"הממצאים הראו שלארגונים עם רמות גבוהות יותר של גמישות עובדים יש ביצועים ארגוניים גבוהים יותר בהשוואה לארגונים עם סידורי עבודה נוקשים יותר. ממצאים אלה מספקים הוכחה לכך שמתן לעובדים את החופש לשנות את סידורי העבודה שלהם לפי הצורך יש יתרונות מוחשיים וישירים לארגון", מציינת גוגל.

גוגל נכנסה לטריטוריה עכורה וביקשה מהמשיבים לחזות כיצד סגנונות עבודה השפיעו על באגים עתידיים בכך שביקשה מהם לחזות את הסבירות שפרצה אבטחה או הפסקה מוחלטת במהלך 12 החודשים הבאים.

אנשים העובדים ב"ארגונים בעלי ביצועים גבוהים צפו פחות שתתרחש טעות גדולה", אמרה גוגל.

מָקוֹר