데이터 유출을 피하고 싶으십니까? DevOps를 수행하고 개발자가 집에서 작업할 수 있도록 Google이 말합니다.

더 빠른 소프트웨어 업데이트를 제공하는 DevOps는 데이터 유출로 인해 폭로되는 기록을 방지하는 데 도움이 될 수 있지만 Google의 연구에 따르면 기존 관행이 당면한 과제를 충족하지 못한다는 사실이 밝혀졌습니다.   

Google은 33,000명의 기술 전문가를 대상으로 DevOps(광범위하게는 소프트웨어 개발을 IT 운영과 일치시키는 것을 의미함)가 연례 보고서의 일환으로 사이버 보안에 미치는 영향을 조사했습니다. DevOps 보고서 현황 가속화. 참고로 그 이상 22 억 기록 2021년에 공개적으로 알려진 4,145건의 침해를 통해 노출되었습니다.

이 보고서는 호주 통신업체 Optus가 인터넷의 해커가 인터넷을 통해 왈츠를 일으킨 후 거의 10천만 명의 거주자의 개인 식별 정보(PII)가 노출된 대규모 침해 사고를 처리하면서 나온 것입니다. 액세스하는 데 암호가 필요하지 않은 클라우드 호스팅 엔드포인트의 API(응용 프로그래밍 인터페이스). 

Google의 설문조사는 2020년 SolarWinds 공격과 올해 오픈 소스 Log4Shell 결함 이후 훨씬 더 주목받은 보안 영역인 소프트웨어 공급망 보안에 초점을 맞췄습니다. 이 두 가지 사례는 기술 산업이 소프트웨어 개발 프로세스를 관리하고 다른 제품 및 서비스 내에서 라이브러리 및 언어 패키지와 같은 구성 요소를 사용하는 방식을 변경했습니다.   

DevOps는 품질을 유지하면서 소프트웨어 릴리스를 가속화하는 것을 목표로 하고 보안 업데이트에 점점 더 집중하고 있습니다. 그러나 SolarWinds 침해 및 Log4Shell 이후 얼마나 변경되었습니까?

이를 추정하기 위해 Google은 백악관이 2021년에 미국 연방 기관에 구현하도록 지시한 SBOM(Software Bill of Materials) 개념을 사용했습니다. 보안 아티팩트를 위한 공급망 수준 (SLSA).

Google의 핵심 아이디어 중 하나는 주요 오픈 소스 프로젝트의 경우 두 명의 개발자가 소스 코드의 변경 사항에 암호로 서명해야 한다는 것입니다. 이 관행은 국가 후원 공격자가 각각의 새 빌드 중에 백도어를 주입하는 임플란트를 설치하여 SolarWinds의 소프트웨어 빌드 시스템을 손상시키는 것을 막았을 것입니다. Google은 또한 NIST의 보안 소프트웨어 개발 프레임워크 (SSDF)를 설문조사의 기준선으로 사용합니다. 

Google은 응답자의 63%가 프로덕션 릴리스를 위한 CI/CD(지속적 통합/지속적 배포) 시스템의 일부로 애플리케이션 수준 보안 스캔을 사용한다는 사실을 발견했습니다. 또한 대부분의 개발자가 코드 기록을 보존하고 빌드 스크립트를 사용하고 있음을 발견했습니다.

50% 미만이 두 사람이 코드 변경 사항을 검토하고 43%만이 메타데이터에 서명했지만 이는 안심할 수 있는 추세입니다.

"SLSA 및 SSDF에 구현된 소프트웨어 공급망 보안 관행은 이미 겸손한 채택을 보이고 있지만 더 많은 여지가 있습니다." the report concludes.

직원을 행복하게 유지하면 보안 결과도 바뀔 수 있습니다. Google은 직원들에게 하이브리드 작업 옵션을 제공한 고용주가 더 나은 성과를 내고 피로도가 더 낮다는 것을 발견했습니다.

“조사 결과에 따르면 직원 유연성이 높은 조직은 업무 방식이 더 엄격한 조직에 비해 조직 성과가 더 높습니다. 이러한 발견은 직원들에게 필요에 따라 업무 방식을 자유롭게 수정할 수 있는 기회를 제공하는 것이 조직에 가시적이고 직접적인 이점을 제공한다는 증거를 제공합니다.”라고 Google은 말합니다.   

Google은 응답자에게 향후 12개월 동안 보안 침해 또는 완전한 중단이 발생할 가능성을 예측하도록 요청하여 작업 스타일이 향후 버그에 어떤 영향을 미칠지 예측하도록 요청하는 모호한 영역으로 넘어갔습니다. 

구글은 "고성과 조직에서 일하는 사람들은 중대한 오류가 발생할 것으로 예상할 가능성이 적었다"고 말했다.