ต้องการหลบเลี่ยงการละเมิดข้อมูลหรือไม่? ทำ DevOps และให้นักพัฒนาทำงานจากที่บ้าน Google . กล่าว

DevOps ซึ่งนำการอัปเดตซอฟต์แวร์ที่เร็วขึ้น สามารถช่วยป้องกันการรั่วไหลของข้อมูลที่ถูกเปิดเผยในการละเมิดข้อมูล แต่การวิจัยของ Google พบว่าแนวทางปฏิบัติที่มีอยู่ไม่ตรงกับงานที่ทำอยู่   

Google สำรวจผู้เชี่ยวชาญด้านเทคโนโลยี 33,000 คนเพื่อสำรวจว่า DevOps ซึ่งหมายถึงการปรับการพัฒนาซอฟต์แวร์ให้สอดคล้องกับการดำเนินงานด้านไอทีในวงกว้างอย่างไร ส่งผลกระทบต่อความปลอดภัยทางไซเบอร์ซึ่งเป็นส่วนหนึ่งของงานประจำปี เร่งรายงานสถานะของ DevOps. ตามที่บันทึกไว้มากกว่า 22 พันล้านบันทึก ถูกเปิดเผยในปี 2021 ถึง 4,145 การละเมิดที่เปิดเผยต่อสาธารณชน

รายงานดังกล่าวมีขึ้นในขณะที่ telco Optus ของออสเตรเลียจัดการกับผลกระทบจากการละเมิดครั้งใหญ่ที่เปิดเผยข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ของผู้อยู่อาศัยเกือบ 10 ล้านคนหลังจากที่แฮ็กเกอร์บนอินเทอร์เน็ตเดินผ่าน Application Programming Interface (API) บนปลายทางที่โฮสต์บนคลาวด์ซึ่งไม่ต้องใช้รหัสผ่านในการเข้าถึง. 

การสำรวจของ Google มุ่งเน้นไปที่ความปลอดภัยของห่วงโซ่อุปทานของซอฟต์แวร์ ซึ่งเป็นประเด็นด้านความปลอดภัยที่ได้รับความสนใจมากขึ้นหลังจากการโจมตี SolarWinds ในปี 2020 และข้อบกพร่องของ Log4Shell โอเพ่นซอร์สในปีนี้ ทั้งสองกรณีนี้เปลี่ยนวิธีที่อุตสาหกรรมเทคโนโลยีจัดการกระบวนการพัฒนาซอฟต์แวร์และใช้ส่วนประกอบ เช่น ไลบรารีและแพ็คเกจภาษาภายในผลิตภัณฑ์และบริการอื่นๆ   

DevOps มุ่งหวังที่จะเร่งการเปิดตัวซอฟต์แวร์ในขณะที่รักษาคุณภาพและเน้นที่การอัปเดตความปลอดภัยมากขึ้น แต่มีการเปลี่ยนแปลงมากน้อยเพียงใดตั้งแต่ SolarWinds ละเมิดและ Log4Shell?

ในการประเมินสิ่งนี้ Google ใช้แนวคิดของ Software Bill of Materials (SBOM) ซึ่งทำเนียบขาวได้สั่งให้หน่วยงานของรัฐบาลกลางสหรัฐดำเนินการในปี 2021 เรียกว่า ระดับซัพพลายเชนสำหรับสิ่งประดิษฐ์ที่ปลอดภัย (สลช.)

หนึ่งในแนวคิดหลักของ Google คือ สำหรับโครงการโอเพนซอร์สที่สำคัญ นักพัฒนาสองคนควรลงนามในการเปลี่ยนแปลงที่ทำกับซอร์สโค้ดด้วยการเข้ารหัส แนวทางปฏิบัตินี้จะหยุดผู้โจมตีที่ได้รับการสนับสนุนจากรัฐจากการบุกรุกระบบการสร้างซอฟต์แวร์ของ SolarWinds โดยการติดตั้งรากเทียมที่ฉีดแบ็คดอร์ระหว่างการสร้างใหม่แต่ละครั้ง Google ยังใช้ NIST's กรอบการพัฒนาซอฟต์แวร์ที่ปลอดภัย (SSDF) เป็นพื้นฐานในการสำรวจ 

Google พบว่า 63% ของผู้ตอบแบบสอบถามใช้การสแกนความปลอดภัยระดับแอปพลิเคชันเป็นส่วนหนึ่งของระบบการผสานรวมแบบต่อเนื่อง/การจัดส่งแบบต่อเนื่อง (CI/CD) สำหรับรุ่นที่ใช้งานจริง นอกจากนี้ยังพบว่านักพัฒนาส่วนใหญ่รักษาประวัติโค้ดและใช้สคริปต์สำหรับบิลด์

นั่นเป็นแนวโน้มที่สร้างความมั่นใจ แม้ว่าน้อยกว่า 50% ที่กำลังฝึกทบทวนการเปลี่ยนแปลงโค้ดแบบสองคน และมีเพียง 43% เท่านั้นที่ลงนามในข้อมูลเมตา

“แนวทางปฏิบัติด้านความปลอดภัยของห่วงโซ่อุปทานของซอฟต์แวร์รวมอยู่ใน SLSA และ SSDF ได้เห็นการนำไปใช้ในระดับปานกลางแล้ว แต่ยังมีพื้นที่เหลือเฟือสำหรับข้อมูลเพิ่มเติม” รายงานสรุป.

การรักษาพนักงานให้มีความสุขสามารถเปลี่ยนแปลงผลลัพธ์ด้านความปลอดภัยได้เช่นกัน Google พบว่านายจ้างที่ให้พนักงานมีตัวเลือกในการทำงานแบบไฮบริดทำงานได้ดีขึ้นและมีอาการหมดไฟน้อยลง

“ผลการวิจัยพบว่าองค์กรที่มีความยืดหยุ่นในระดับสูงกว่านั้นมีประสิทธิภาพในองค์กรที่สูงกว่าเมื่อเทียบกับองค์กรที่มีการจัดการงานที่เข้มงวดกว่า การค้นพบนี้ให้หลักฐานว่าการให้พนักงานมีอิสระในการปรับเปลี่ยนการจัดเตรียมงานตามความจำเป็นนั้นมีประโยชน์โดยตรงและเป็นรูปธรรมสำหรับองค์กร” Google กล่าว   

Google บุกเข้าไปในดินแดนที่มืดมิดโดยขอให้ผู้ตอบแบบสอบถามคาดการณ์ว่ารูปแบบการทำงานจะส่งผลต่อจุดบกพร่องในอนาคตอย่างไร โดยขอให้พวกเขาคาดการณ์ถึงความเป็นไปได้ที่การละเมิดความปลอดภัยหรือการหยุดทำงานโดยสมบูรณ์จะเกิดขึ้นในช่วง 12 เดือนข้างหน้า 

คนที่ทำงานใน "องค์กรที่มีประสิทธิภาพสูงมักไม่ค่อยคาดหวังว่าจะมีข้อผิดพลาดร้ายแรงเกิดขึ้น" Google กล่าว