Pengin ngindari pelanggaran data? Apa DevOps lan ngidini pangembang bisa kerja saka omah, ujare Google

DevOps, sing ndadekke nganyari piranti lunak luwih cepet, bisa mbantu nyegah longsoran cathetan sing katon ing pelanggaran data, nanging riset Google nemokake yen praktik sing ana ora bisa ngrampungake tugas sing ditindakake.   

Google nliti 33,000 profesional teknologi kanggo njelajah kepiye DevOps - sing umume tegese nyelarasake pangembangan piranti lunak karo operasi IT - mengaruhi keamanan siber minangka bagean saka taunan. Akselerasi State of DevOps Report. Minangka cathetan, luwih saka 22 milyar cathetan wis kapapar ing 2021 liwat 4,145 pelanggaran sing dikenal umum.

Laporan kasebut muncul nalika perusahaan telekomunikasi Australia Optus nangani akibat saka pelanggaran gedhe sing mbukak meh 10 yuta informasi identitas pribadi (PII) warga sawise peretas ing internet ngliwati antarmuka pemrograman aplikasi (API) ing endpoint awan-host sing ora mbutuhake sandhi kanggo ngakses. 

Survei Google fokus ing keamanan rantai pasokan piranti lunak - area keamanan sing entuk perhatian luwih akeh sawise serangan SolarWinds ing taun 2020 lan cacat Log4Shell sumber terbuka taun iki. Kasus loro iki ngganti cara industri teknologi ngatur proses pangembangan piranti lunak lan nggunakake komponen, kayata perpustakaan lan paket basa ing produk lan layanan liyane.   

DevOps tujuane kanggo nyepetake rilis piranti lunak nalika njaga kualitas lan saya fokus ing nganyari keamanan. Nanging kepiye owah-owahan wiwit nglanggar SolarWinds lan Log4Shell?

Kanggo ngira iki, Google nggunakake konsep Software Bill of Materials (SBOM), sing diwenehake dening Gedung Putih marang agensi federal AS supaya dileksanakake ing 2021, diarani Tingkat Supply-chain kanggo Artefak Aman (SLSA).

Salah sawijining ide utama Google yaiku, kanggo proyek open-source utama, loro pangembang kudu menehi tandha kriptografis owah-owahan sing digawe kanggo kode sumber. Praktek iki bakal nyegah panyerang sing disponsori negara saka kompromi sistem mbangun piranti lunak SolarWinds kanthi nginstal implan sing nyuntikake lawang mburi sajrone saben bangunan anyar. Google uga nggunakake NIST Kerangka Pengembangan Perangkat Lunak Aman (SSDF) minangka dhasar ing survey. 

Google nemokake manawa 63% responden nggunakake pemindaian keamanan tingkat aplikasi minangka bagéan saka sistem integrasi / pangiriman terus-terusan (CI / CD) kanggo rilis produksi. Uga ditemokake manawa umume pangembang njaga sejarah kode lan nggunakake skrip mbangun.

Iki minangka tren sing nyenengake, sanajan kurang saka 50% nindakake review rong wong babagan owah-owahan kode lan mung 43% sing mlebu metadata.

"Praktik keamanan rantai pasokan piranti lunak sing ana ing SLSA lan SSDF wis ndeleng adopsi sing sederhana, nanging ana akeh ruang kanggo luwih akeh," laporan rampung.

Nggawe staf seneng uga bisa ngganti asil keamanan. Google nemokake manawa majikan sing menehi pilihan kerja hibrida luwih apik lan ngalami burnout sing luwih murah.

"Temuan nuduhake manawa organisasi kanthi tingkat keluwesan karyawan sing luwih dhuwur duwe kinerja organisasi sing luwih dhuwur tinimbang organisasi kanthi pengaturan kerja sing luwih kaku. Temuan kasebut menehi bukti yen menehi kebebasan karyawan kanggo ngowahi pengaturan kerja kaya sing dibutuhake duwe keuntungan sing nyata lan langsung kanggo organisasi, "cathetan Google.   

Google mlebu wilayah sing surem kanggo njaluk responden kanggo ramalan kepiye gaya kerja kena pengaruh kewan omo ing mangsa ngarep kanthi njaluk prédhiksi kemungkinan pelanggaran keamanan utawa gangguan lengkap bakal kedadeyan sajrone 12 wulan sabanjure. 

Wong-wong sing kerja ing "organisasi berkinerja dhuwur luwih cenderung nyana kesalahan gedhe," ujare Google.