Se želite izogniti kršitvi podatkov? Izvedite DevOps in pustite razvijalcem delo od doma, pravi Google

DevOps, ki prinaša hitrejše posodobitve programske opreme, bi lahko pomagal preprečiti plaz zapisov, ki so bili izpostavljeni pri kršitvah podatkov, vendar Googlova raziskava ugotavlja, da obstoječe prakse ne izpolnjujejo zastavljene naloge.   

Google je anketiral 33,000 tehničnih strokovnjakov, da bi raziskal, kako DevOps – kar na splošno pomeni usklajevanje razvoja programske opreme z operacijami IT – vpliva na kibernetsko varnost kot del svojega letnega Pospešite stanje poročila DevOps. Kot ugotavlja, več kot 22 milijard zapisov so bili leta 2021 razkriti s 4,145 javno znanimi kršitvami.

Poročilo je objavljeno, ko avstralska telekomunikacijska družba Optus obravnava posledice velikega vdora, ki je razkril osebne identifikacijske podatke (PII) skoraj 10 milijonov prebivalcev, potem ko je heker na internetu vdrl v aplikacijski programski vmesnik (API) na končni točki, ki gostuje v oblaku in za dostop do katere ni bilo potrebno geslo. 

Googlova raziskava se je osredotočila na varnost dobavne verige programske opreme – področje varnosti, ki je dobilo veliko večjo pozornost po napadu SolarWinds leta 2020 in napaki odprtokodnega Log4Shell letos. Ta dva primera sta spremenila način, kako tehnološka industrija upravlja procese razvoja programske opreme in uporablja komponente, kot so knjižnice in jezikovni paketi v drugih izdelkih in storitvah.   

Cilj DevOps je pospešiti izdaje programske opreme ob ohranjanju kakovosti in se vse bolj osredotoča na varnostne posodobitve. Toda koliko se je spremenilo od vdora SolarWinds in Log4Shell?

Da bi to ocenil, je Google uporabil svoj pogled na koncept gradiva programske opreme (SBOM), ki ga je Bela hiša leta 2021 naročila ameriškim zveznim agencijam, da ga uvedejo, imenovano Ravni dobavne verige za varne artefakte (SLSA).

Ena od Googlovih ključnih idej je, da bi morala pri večjih odprtokodnih projektih dva razvijalca kriptografsko podpisati spremembe izvorne kode. Ta praksa bi napadalcem, ki jih sponzorira država, preprečila, da bi ogrozili sistem za gradnjo programske opreme SolarWinds z namestitvijo vsadka, ki je med vsako novo gradnjo vbrizgal stranska vrata. Google je uporabil tudi NIST Varno ogrodje za razvoj programske opreme (SSDF) kot izhodišče v raziskavi. 

Google je ugotovil, da je 63 % anketirancev uporabilo varnostno skeniranje na ravni aplikacije kot del sistemov za stalno integracijo/neprekinjeno dostavo (CI/CD) za proizvodne izdaje. Ugotovilo je tudi, da je večina razvijalcev ohranjala zgodovino kode in uporabljala skripte za gradnjo.

To je pomirjujoč trend, čeprav jih je manj kot 50 % izvajalo dvoosebni pregled sprememb kode in le 43 % podpisovalo metapodatke.

"Varnostne prakse dobavne verige programske opreme, ki jih uteleša SLSA in SSDF, so že skromno sprejete, vendar obstaja dovolj prostora za več," poročilo zaključuje.

Zadovoljstvo osebja lahko spremeni tudi varnostne rezultate. Google je ugotovil, da so bili delodajalci, ki so zaposlenim dali možnost hibridnega dela, boljši in manj izgoreli.

»Ugotovitve so pokazale, da imajo organizacije z višjo stopnjo fleksibilnosti zaposlenih višjo organizacijsko uspešnost v primerjavi z organizacijami s togo ureditvijo dela. Te ugotovitve dokazujejo, da ima zaposlenim možnost, da po potrebi spremenijo svoje delovne dogovore, oprijemljive in neposredne koristi za organizacijo,« ugotavlja Google.   

Google je zabredel na nejasno področje in vprašal anketirance, naj napovejo, kako bodo stili dela vplivali na prihodnje hrošče, in jih prosil, naj napovejo verjetnost, da bo v naslednjih 12 mesecih prišlo do kršitve varnosti ali popolnega izpada. 

Ljudje, ki delajo v "visoko uspešnih organizacijah, manj verjetno pričakujejo večjo napako," je dejal Google.