Chcesz uniknąć wycieku danych? Korzystaj z DevOps i pozwól programistom pracować w domu, mówi Google

DevOps, który zapewnia szybsze aktualizacje oprogramowania, może pomóc w zapobieganiu lawinie rekordów ujawnionych w przypadku naruszeń danych, ale badania Google wykazały, że istniejące praktyki nie spełniają danego zadania.   

Firma Google przeprowadziła ankietę wśród 33,000 XNUMX specjalistów ds. technologii, aby zbadać, w jaki sposób DevOps — co ogólnie oznacza łączenie rozwoju oprogramowania z operacjami IT — wpływa na cyberbezpieczeństwo w ramach corocznej Przyspiesz raport o stanie DevOps. Jak zauważa, więcej niż 22 miliardów rekordów zostały ujawnione w 2021 r. przez 4,145 publicznie znanych naruszeń.

Raport pojawia się, gdy australijska firma telekomunikacyjna Optus zajmuje się skutkami masowego włamania, które ujawniło dane osobowe (PII) prawie 10 milionów mieszkańców po tym, jak haker w Internecie przebił się przez interfejs programowania aplikacji (API) na punkcie końcowym hostowanym w chmurze, który nie wymagał hasła, aby uzyskać dostęp. 

Ankieta Google skupiła się na bezpieczeństwie łańcucha dostaw oprogramowania – obszarze bezpieczeństwa, który zyskał znacznie większą uwagę po ataku SolarWinds w 2020 roku i luce Open Source Log4Shell w tym roku. Te dwa przypadki zmieniły sposób, w jaki branża technologiczna zarządza procesami tworzenia oprogramowania i wykorzystuje komponenty, takie jak biblioteki i pakiety językowe w innych produktach i usługach.   

DevOps ma na celu przyspieszenie wydawania oprogramowania przy zachowaniu jakości i coraz bardziej koncentruje się na aktualizacjach zabezpieczeń. Ale ile się zmieniło od czasu naruszenia SolarWinds i Log4Shell?

Aby to oszacować, Google wykorzystało swoje podejście do koncepcji Software Bill of Materials (SBOM), którą Biały Dom polecił amerykańskim agencjom federalnym wdrożyć w 2021 r., nazwanej Poziomy łańcucha dostaw dla bezpiecznych artefaktów (SLSA).

Jednym z kluczowych pomysłów Google jest to, że w przypadku dużych projektów open source dwóch programistów powinno kryptograficznie podpisać zmiany wprowadzone w kodzie źródłowym. Ta praktyka powstrzymałaby sponsorowanych przez państwo atakujących przed naruszeniem systemu kompilacji oprogramowania SolarWinds poprzez zainstalowanie implantu, który wstrzykiwał tylne drzwi podczas każdej nowej kompilacji. Google wykorzystał również NIST Bezpieczne ramy rozwoju oprogramowania (SSDF) jako punkt odniesienia w ankiecie. 

Firma Google stwierdziła, że ​​63% respondentów korzystało ze skanowania zabezpieczeń na poziomie aplikacji w ramach systemów ciągłej integracji/ciągłego dostarczania (CI/CD) w wydaniach produkcyjnych. Okazało się również, że większość programistów zachowywała historię kodu i używała skryptów kompilacji.

To uspokajający trend, chociaż mniej niż 50% ćwiczyło dwuosobowe przeglądanie zmian w kodzie, a tylko 43% podpisywało metadane.

„Praktyki bezpieczeństwa łańcucha dostaw oprogramowania zawarte w SLSA i SSDF już są skromne, ale jest dużo miejsca na więcej” raport się kończy.

Zadowolenie personelu może również zmienić wyniki w zakresie bezpieczeństwa. Google odkrył, że pracodawcy, którzy dawali pracownikom możliwość pracy na hybrydach, osiągali lepsze wyniki i byli mniej wypaleni.

„Wyniki wykazały, że organizacje o wyższym poziomie elastyczności pracowników mają wyższą wydajność organizacyjną w porównaniu z organizacjami o bardziej sztywnych zasadach pracy. Te odkrycia dostarczają dowodów na to, że zapewnienie pracownikom swobody w modyfikowaniu organizacji pracy w razie potrzeby przynosi wymierne i bezpośrednie korzyści dla organizacji” – zauważa Google.   

Google wdarło się na niejasne terytorium, prosząc respondentów o prognozowanie, w jaki sposób styl pracy wpłynie na przyszłe błędy, prosząc ich o przewidzenie prawdopodobieństwa naruszenia bezpieczeństwa lub całkowitego przestoju w ciągu najbliższych 12 miesięcy. 

Osoby pracujące w „wysoko wydajnych organizacjach rzadziej spodziewały się wystąpienia poważnego błędu” – powiedział Google.