データ侵害を回避したいですか？ DevOps を実行し、開発者が自宅で作業できるようにすると、Google は述べています

より迅速なソフトウェア更新をもたらす DevOps は、データ侵害で流出する記録のなだれを防ぐのに役立つ可能性がありますが、Google の調査によると、既存の慣行では目前のタスクを満たしていないことがわかりました。

Google は 33,000 人の技術専門家を対象に調査を行い、DevOps (ソフトウェア開発と IT 運用を調整することを広く意味します) がサイバーセキュリティにどのように影響するかを調査しました。 DevOps レポートの加速状態. それが指摘するように、以上 22億件の記録 2021 年には、公に知られている 4,145 件の侵害を通じて暴露されました。

このレポートは、オーストラリアの通信会社 Optus が、インターネット上のハッカーが侵入した後、10 万人近くの住民の個人を特定できる情報 (PII) を公開した大規模な侵害からのフォールアウトを処理しているときに発生します。アクセスにパスワードを必要としない、クラウドでホストされるエンドポイントのアプリケーションプログラミングインターフェイス (API).

Google の調査は、ソフトウェアサプライチェーンのセキュリティに焦点を当てています。これは、2020 年の SolarWinds 攻撃と今年のオープンソース Log4Shell の欠陥の後で、より注目を集めたセキュリティ分野です。これら XNUMX つの事例により、テクノロジー業界がソフトウェア開発プロセスを管理し、他の製品やサービス内でライブラリや言語パッケージなどのコンポーネントを使用する方法が変わりました。

DevOps は、品質を維持しながらソフトウェアリリースを加速することを目的としており、セキュリティアップデートにますます重点を置いています。しかし、SolarWinds の侵害と Log4Shell 以来、どれだけ変化したのでしょうか?

これを推定するために、Google は、ホワイトハウスが 2021 年に米国連邦政府機関に実装するよう指示した、Software Bill of Materials (SBOM) の概念を利用しました。セキュアアーティファクトのサプライチェーンレベル (SLSA)。

Google の重要なアイデアの XNUMX つは、主要なオープンソースプロジェクトでは、XNUMX 人の開発者がソースコードに加えられた変更に暗号署名する必要があるというものです。この慣行により、国が支援する攻撃者が、新しいビルドごとにバックドアを挿入するインプラントをインストールすることで、SolarWinds のソフトウェアビルドシステムを侵害するのを阻止できたはずです。 Google も NIST の安全なソフトウェア開発フレームワーク（SSDF）を調査のベースラインとして。

Google は、回答者の 63% が、本番リリース用の継続的インテグレーション/継続的デリバリー (CI/CD) システムの一部として、アプリケーションレベルのセキュリティスキャンを使用していることを発見しました。また、ほとんどの開発者がコード履歴を保持し、ビルドスクリプトを使用していることもわかりました。

これは心強い傾向ですが、コード変更の 50 人でのレビューを行っているのは 43% 未満であり、メタデータに署名しているのは XNUMX% のみでした。

「SLSA と SSDF で具現化されたソフトウェアサプライチェーンのセキュリティプラクティスは、すでにある程度採用されていますが、さらに多くの余地があります。」レポートは締めくくります.

スタッフの満足度を維持することで、セキュリティの成果も変わる可能性があります。 Google は、従業員にハイブリッドワークのオプションを提供した雇用主は、パフォーマンスが向上し、燃え尽き症候群が少ないことを発見しました。

「調査結果によると、従業員の柔軟性のレベルが高い組織は、より厳格な勤務形態の組織と比較して、組織のパフォーマンスが高いことが示されました。これらの調査結果は、必要に応じて勤務形態を変更する自由を従業員に与えることは、組織にとって具体的かつ直接的な利益をもたらすという証拠を提供します」と Google は述べています。

Google は、今後 12 か月間にセキュリティ違反または完全な機能停止が発生する可能性を予測するよう回答者に求めることで、ワークスタイルが将来のバグにどのように影響するかを予測するよう回答者に求めるという曖昧な領域に足を踏み入れました。

「業績の高い組織で働く人々は、重大なエラーが発生することを期待する可能性が低い」と、Google は述べています。

ソース