DevOps ซึ่งนำการอัปเดตซอฟต์แวร์ที่เร็วขึ้น สามารถช่วยป้องกันการรั่วไหลของข้อมูลที่ถูกเปิดเผยในการละเมิดข้อมูล แต่การวิจัยของ Google พบว่าแนวทางปฏิบัติที่มีอยู่ไม่ตรงกับงานที่ทำอยู่
Google สำรวจผู้เชี่ยวชาญด้านเทคโนโลยี 33,000 คนเพื่อสำรวจว่า DevOps ซึ่งหมายถึงการปรับการพัฒนาซอฟต์แวร์ให้สอดคล้องกับการดำเนินงานด้านไอทีในวงกว้างอย่างไร ส่งผลกระทบต่อความปลอดภัยทางไซเบอร์ซึ่งเป็นส่วนหนึ่งของงานประจำปี เร่งรายงานสถานะของ DevOps. ตามที่บันทึกไว้มากกว่า 22 พันล้านบันทึก ถูกเปิดเผยในปี 2021 ถึง 4,145 การละเมิดที่เปิดเผยต่อสาธารณชน
รายงานดังกล่าวมีขึ้นในขณะที่ telco Optus ของออสเตรเลียจัดการกับผลกระทบจากการละเมิดครั้งใหญ่ที่เปิดเผยข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ของผู้อยู่อาศัยเกือบ 10 ล้านคนหลังจากที่แฮ็กเกอร์บนอินเทอร์เน็ตเดินผ่าน Application Programming Interface (API) บนปลายทางที่โฮสต์บนคลาวด์ซึ่งไม่ต้องใช้รหัสผ่านในการเข้าถึง.
การสำรวจของ Google มุ่งเน้นไปที่ความปลอดภัยของห่วงโซ่อุปทานของซอฟต์แวร์ ซึ่งเป็นประเด็นด้านความปลอดภัยที่ได้รับความสนใจมากขึ้นหลังจากการโจมตี SolarWinds ในปี 2020 และข้อบกพร่องของ Log4Shell โอเพ่นซอร์สในปีนี้ ทั้งสองกรณีนี้เปลี่ยนวิธีที่อุตสาหกรรมเทคโนโลยีจัดการกระบวนการพัฒนาซอฟต์แวร์และใช้ส่วนประกอบ เช่น ไลบรารีและแพ็คเกจภาษาภายในผลิตภัณฑ์และบริการอื่นๆ
DevOps มุ่งหวังที่จะเร่งการเปิดตัวซอฟต์แวร์ในขณะที่รักษาคุณภาพและเน้นที่การอัปเดตความปลอดภัยมากขึ้น แต่มีการเปลี่ยนแปลงมากน้อยเพียงใดตั้งแต่ SolarWinds ละเมิดและ Log4Shell?
ในการประเมินสิ่งนี้ Google ใช้แนวคิดของ Software Bill of Materials (SBOM) ซึ่งทำเนียบขาวได้สั่งให้หน่วยงานของรัฐบาลกลางสหรัฐดำเนินการในปี 2021 เรียกว่า ระดับซัพพลายเชนสำหรับสิ่งประดิษฐ์ที่ปลอดภัย (สลช.)
หนึ่งในแนวคิดหลักของ Google คือ สำหรับโครงการโอเพนซอร์สที่สำคัญ นักพัฒนาสองคนควรลงนามในการเปลี่ยนแปลงที่ทำกับซอร์สโค้ดด้วยการเข้ารหัส แนวทางปฏิบัตินี้จะหยุดผู้โจมตีที่ได้รับการสนับสนุนจากรัฐจากการบุกรุกระบบการสร้างซอฟต์แวร์ของ SolarWinds โดยการติดตั้งรากเทียมที่ฉีดแบ็คดอร์ระหว่างการสร้างใหม่แต่ละครั้ง Google ยังใช้ NIST's กรอบการพัฒนาซอฟต์แวร์ที่ปลอดภัย (SSDF) เป็นพื้นฐานในการสำรวจ
Google พบว่า 63% ของผู้ตอบแบบสอบถามใช้การสแกนความปลอดภัยระดับแอปพลิเคชันเป็นส่วนหนึ่งของระบบการผสานรวมแบบต่อเนื่อง/การจัดส่งแบบต่อเนื่อง (CI/CD) สำหรับรุ่นที่ใช้งานจริง นอกจากนี้ยังพบว่านักพัฒนาส่วนใหญ่รักษาประวัติโค้ดและใช้สคริปต์สำหรับบิลด์
นั่นเป็นแนวโน้มที่สร้างความมั่นใจ แม้ว่าน้อยกว่า 50% ที่กำลังฝึกทบทวนการเปลี่ยนแปลงโค้ดแบบสองคน และมีเพียง 43% เท่านั้นที่ลงนามในข้อมูลเมตา
“แนวทางปฏิบัติด้านความปลอดภัยของห่วงโซ่อุปทานของซอฟต์แวร์รวมอยู่ใน SLSA และ SSDF ได้เห็นการนำไปใช้ในระดับปานกลางแล้ว แต่ยังมีพื้นที่เหลือเฟือสำหรับข้อมูลเพิ่มเติม” รายงานสรุป.
การรักษาพนักงานให้มีความสุขสามารถเปลี่ยนแปลงผลลัพธ์ด้านความปลอดภัยได้เช่นกัน Google พบว่านายจ้างที่ให้พนักงานมีตัวเลือกในการทำงานแบบไฮบริดทำงานได้ดีขึ้นและมีอาการหมดไฟน้อยลง
“ผลการวิจัยพบว่าองค์กรที่มีความยืดหยุ่นในระดับสูงกว่านั้นมีประสิทธิภาพในองค์กรที่สูงกว่าเมื่อเทียบกับองค์กรที่มีการจัดการงานที่เข้มงวดกว่า การค้นพบนี้ให้หลักฐานว่าการให้พนักงานมีอิสระในการปรับเปลี่ยนการจัดเตรียมงานตามความจำเป็นนั้นมีประโยชน์โดยตรงและเป็นรูปธรรมสำหรับองค์กร” Google กล่าว
Google บุกเข้าไปในดินแดนที่มืดมิดโดยขอให้ผู้ตอบแบบสอบถามคาดการณ์ว่ารูปแบบการทำงานจะส่งผลต่อจุดบกพร่องในอนาคตอย่างไร โดยขอให้พวกเขาคาดการณ์ถึงความเป็นไปได้ที่การละเมิดความปลอดภัยหรือการหยุดทำงานโดยสมบูรณ์จะเกิดขึ้นในช่วง 12 เดือนข้างหน้า
คนที่ทำงานใน "องค์กรที่มีประสิทธิภาพสูงมักไม่ค่อยคาดหวังว่าจะมีข้อผิดพลาดร้ายแรงเกิดขึ้น" Google กล่าว