Vill du undvika ett dataintrång? Gör DevOps och låt utvecklare arbeta hemifrån, säger Google

DevOps, som ger snabbare mjukvaruuppdateringar, kan hjälpa till att förhindra lavinen av poster som exponeras i dataintrång, men Googles forskning visar att befintliga metoder inte uppfyller uppgiften.   

Google undersökte 33,000 XNUMX tekniska proffs för att undersöka hur DevOps – vilket i stora drag betyder att anpassa mjukvaruutveckling med IT-drift – påverkar cybersäkerhet som en del av sin årliga Accelerera State of DevOps-rapporten. Som den noterar, mer än 22 miljarder poster avslöjades 2021 genom 4,145 XNUMX allmänt kända intrång.

Rapporten kommer när det australiensiska telebolaget Optus hanterar nedfallet från ett massivt intrång som avslöjade nästan 10 miljoner invånares personligt identifierbara information (PII) efter att en hackare på internet valsade igenom en Application Programming Interface (API) på en molnvärd slutpunkt som inte krävde ett lösenord för att komma åt. 

Googles undersökning fokuserade på säkerhet i mjukvaruförsörjningskedjan – ett säkerhetsområde som fick mycket mer uppmärksamhet efter SolarWinds-attacken 2020 och log4Shell-felet med öppen källkod i år. Dessa två fall förändrade hur teknikindustrin hanterar mjukvaruutvecklingsprocesser och använder komponenter, såsom bibliotek och språkpaket inom andra produkter och tjänster.   

DevOps syftar till att påskynda programvaruversioner samtidigt som kvaliteten bibehålls och fokuserar alltmer på säkerhetsuppdateringar. Men hur mycket har förändrats sedan SolarWinds-intrånget och Log4Shell?

För att uppskatta detta använde Google sin syn på konceptet Software Bill of Materials (SBOM), som Vita huset instruerade amerikanska federala myndigheter att implementera 2021, kallat Supply-chain-nivåer för säkra artefakter (SLSA).

En av Googles nyckelidéer är att för stora projekt med öppen källkod ska två utvecklare kryptografiskt signera ändringar som gjorts i källkoden. Denna praxis skulle ha stoppat statligt sponsrade angripare från att äventyra SolarWinds mjukvarubyggesystem genom att installera ett implantat som injicerade en bakdörr under varje nybyggnation. Google använde också NIST:s Säkert ramverk för mjukvaruutveckling (SSDF) som baslinje i undersökningen. 

Google fann att 63 % av de tillfrågade använde säkerhetsskanning på applikationsnivå som en del av system för kontinuerlig integration/kontinuerlig leverans (CI/CD) för produktionsutgåvor. Den fann också att de flesta utvecklare bevarade kodhistorik och använde byggskript.

Det är en betryggande trend, även om mindre än 50 % övade två-personers granskning av kodändringar och endast 43 % signerade metadata.

"Säkerhetspraxis för mjukvaruförsörjningskedjan som ingår i SLSA och SSDF har redan antagits blygsamt, men det finns gott om utrymme för fler." avslutas rapporten.

Att hålla personalen nöjd kan också förändra säkerhetsresultaten. Google fann att arbetsgivare som gav personalen möjlighet till hybridarbete presterade bättre och fick mindre utbrändhet.

”Fynden visade att organisationer med högre nivåer av flexibilitet hos de anställda har högre organisatorisk prestation jämfört med organisationer med mer rigida arbetsarrangemang. Dessa fynd ger bevis på att att ge anställda friheten att ändra sina arbetsarrangemang efter behov har påtagliga och direkta fördelar för en organisation”, noterar Google.   

Google vadade in på skumt territorium och bad respondenterna att förutse hur arbetsstilar påverkade framtida buggar genom att be dem förutsäga sannolikheten för att ett säkerhetsbrott eller ett fullständigt avbrott skulle inträffa under de kommande 12 månaderna. 

Personer som arbetar i "högpresterande organisationer förväntade sig mindre sannolikt att ett stort fel skulle inträffa", sa Google.