Деректерді бұзудан аулақ болғыңыз келе ме? DevOps жасаңыз және әзірлеушілерге үйден жұмыс істеуге мүмкіндік беріңіз, дейді Google

Бағдарламалық жасақтаманы жылдамырақ жаңартуды қамтамасыз ететін DevOps деректердің бұзылуына ұшыраған жазбалардың көшкінінің алдын алуға көмектесуі мүмкін, бірақ Google зерттеулері бар тәжірибелер қойылған міндетке сәйкес келмейтінін анықтады.   

Google DevOps - бағдарламалық жасақтаманы әзірлеуді АТ операцияларымен сәйкестендіру дегенді білдіреді - жыл сайынғы бағдарламасының бір бөлігі ретінде киберқауіпсіздікке қалай әсер ететінін зерттеу үшін Google 33,000 XNUMX техникалық мамандардан сауалнама жүргізді. DevOps жағдайының есебін жеделдету. Ол атап өткендей, артық 22 миллиард жазба 2021 жылы 4,145 жалпыға белгілі бұзушылықтар арқылы әшкереленді.

Баяндама австралиялық Optus телекомпаниясы интернеттегі хакердің вальс арқылы 10 миллионға жуық тұрғынның жеке басын анықтауға болатын ақпаратын (PII) әшкерелеген ауқымды бұзушылықтың салдарын жоюмен байланысты. Қолданбалы бағдарламалау интерфейсі (API) кіру үшін құпия сөзді қажет етпейтін бұлтта орналастырылған соңғы нүктеде. 

Google сауалнамасы 2020 жылы SolarWinds шабуылынан және осы жылы ашық бастапқы Log4Shell кемшілігінен кейін көбірек назар аударылған қауіпсіздік саласы — бағдарламалық қамтамасыз етуді жеткізу тізбегінің қауіпсіздігіне бағытталған. Бұл екі жағдай технологиялық индустрияның бағдарламалық жасақтаманы әзірлеу процестерін басқару және басқа өнімдер мен қызметтердегі кітапханалар мен тіл бумалары сияқты компоненттерді пайдалану тәсілін өзгертті.   

DevOps сапаны сақтай отырып және қауіпсіздік жаңартуларына көбірек назар аудара отырып, бағдарламалық қамтамасыз ету шығарылымдарын жылдамдатуға бағытталған. Бірақ SolarWinds бұзылған және Log4Shell бері қанша өзгерді?

Мұны бағалау үшін Google Ақ үй АҚШ федералды агенттіктеріне 2021 жылы енгізуді тапсырған бағдарламалық қамтамасыз ету материалдарының (SBOM) тұжырымдамасын қолданды. Қауіпсіз артефактілерге арналған жеткізу тізбегі деңгейлері (SLSA).

Google-дың негізгі идеяларының бірі - ірі ашық бастапқы жобалар үшін екі әзірлеуші ​​бастапқы кодқа енгізілген өзгерістерге криптографиялық қол қоюы керек. Бұл тәжірибе мемлекет демеушілік ететін шабуылдаушыларды SolarWinds бағдарламалық жасақтамасын құрастыру жүйесіне қауіп төндіретін имплантты орнату арқылы әрбір жаңа құрастыру кезінде бэкдорды енгізетін еді. Google NIST-ті де пайдаланды Қауіпсіз бағдарламалық жасақтаманы әзірлеу шеңбері (SSDF) сауалнамадағы базалық көрсеткіш ретінде. 

Google респонденттердің 63%-ы өндірістік шығарылымдар үшін үздіксіз интеграция/үздіксіз жеткізу (CI/CD) жүйелерінің бөлігі ретінде қолданба деңгейіндегі қауіпсіздік сканерлеуін пайдаланғанын анықтады. Сондай-ақ, әзірлеушілердің көпшілігі код тарихын сақтап, құрастыру сценарийлерін қолданатыны анықталды.

Бұл сенімді тенденция, дегенмен 50%-дан азы код өзгерістеріне екі адамдық шолу жасауды үйренді және тек 43%-ы метадеректерге қол қойды.

«SLSA және SSDF-те қамтылған бағдарламалық қамтамасыз етуді жеткізу тізбегінің қауіпсіздік тәжірибелері қазірдің өзінде қарапайым қабылдауды көреді, бірақ одан да көп орын бар», есеп қорытындылайды.

Қызметкерлерді бақытты ету қауіпсіздік нәтижелерін де өзгерте алады. Google қызметкерлеріне гибридті жұмыс нұсқасын берген жұмыс берушілер жақсы жұмыс істеп, аз күйіп қалғанын анықтады.

«Нәтижелер қызметкерлердің икемділігі жоғары ұйымдардың қатаң жұмыс тәртібі бар ұйымдармен салыстырғанда жоғары ұйымдық өнімділікке ие екенін көрсетті. Бұл нәтижелер қызметкерлерге жұмыс тәртібін қажетінше өзгертуге еркіндік беру ұйымға нақты және тікелей пайда әкелетінін дәлелдейді», - деп атап өтті Google.   

Google респонденттерден жұмыс мәнерлерінің болашақ қателерге қалай әсер ететінін болжауды сұрап, олардан келесі 12 ай ішінде қауіпсіздіктің бұзылуы немесе толық үзіліс орын алу ықтималдығын болжауды сұрады. 

«Жоғары өнімді ұйымдарда жұмыс істейтін адамдар үлкен қателік болады деп күткен жоқ», - деді Google.