Gustong umiwas sa data breach? Gawin ang DevOps at hayaan ang mga developer na magtrabaho mula sa bahay, sabi ng Google

Ang DevOps, na nagdudulot ng mas mabilis na pag-update ng software, ay maaaring makatulong na maiwasan ang pag-avalanche ng mga talaan na nakalantad sa mga paglabag sa data, ngunit natuklasan ng pananaliksik ng Google na ang mga kasalukuyang kasanayan ay hindi nakakatugon sa gawaing nasa kamay.   

Nag-survey ang Google sa 33,000 tech pros para tuklasin kung paano naaapektuhan ng DevOps — na malawakang nangangahulugang pag-align ng software development sa mga IT operation — sa cybersecurity bilang bahagi ng taunang Pabilisin ang State of DevOps Report. Tulad ng nabanggit, higit sa 22 bilyong rekord ay nalantad noong 2021 sa pamamagitan ng 4,145 na kilalang paglabag sa publiko.

Ang ulat ay dumating habang pinangangasiwaan ng Australian telco Optus ang epekto mula sa isang malaking paglabag na naglantad sa halos 10 milyong residente ng personal na pagkakakilanlan ng impormasyon (PII) matapos ang isang hacker sa internet ay nagwaltz sa isang application programming interface (API) sa isang cloud-hosted endpoint na hindi nangangailangan ng password para ma-access. 

Nakatuon ang survey ng Google sa seguridad ng supply chain ng software — isang lugar ng seguridad na nakakuha ng mas malapit na atensyon pagkatapos ng pag-atake ng SolarWinds noong 2020 at ang open-source na Log4Shell flaw ngayong taon. Binago ng dalawang kasong ito ang paraan ng pamamahala ng industriya ng teknolohiya sa mga proseso ng pagbuo ng software at paggamit ng mga bahagi, gaya ng mga aklatan at mga pakete ng wika sa loob ng iba pang mga produkto at serbisyo.   

Nilalayon ng DevOps na mapabilis ang paglabas ng software habang pinapanatili ang kalidad at lalong tumutuon sa mga update sa seguridad. Ngunit gaano kalaki ang nagbago mula noong paglabag sa SolarWinds at Log4Shell?

Upang matantya ito, ginamit ng Google ang pananaw nito sa konsepto ng Software Bill of Materials (SBOM), na inutusan ng White House sa mga ahensya ng pederal ng US na ipatupad noong 2021, na tinatawag na Mga Antas ng Supply-chain para sa Mga Secure na Artifact (SLSA).

Ang isa sa mga pangunahing ideya ng Google ay na, para sa mga pangunahing open-source na proyekto, dalawang developer ang dapat na kriptograpiyang pumirma sa mga pagbabagong ginawa sa source code. Ang pagsasanay na ito ay maaaring huminto sa mga umaatake na itinataguyod ng estado mula sa pagkompromiso ng software build system ng SolarWinds sa pamamagitan ng pag-install ng isang implant na nag-inject ng backdoor sa bawat bagong build. Ginamit din ng Google ang NIST's Secure na Software Development Framework (SSDF) bilang baseline sa survey. 

Nalaman ng Google na 63% ng mga respondent ang gumamit ng pag-scan sa seguridad sa antas ng aplikasyon bilang bahagi ng tuluy-tuloy na integration/continuous delivery (CI/CD) system para sa mga production release. Nalaman din nito na karamihan sa mga developer ay nagpapanatili ng history ng code at gumagamit ng mga build script.

Iyan ay isang nakakapanatag na trend, bagama't wala pang 50% ang nagsasanay ng dalawang tao na pagsusuri ng mga pagbabago sa code at 43% lang ang lumalagda sa metadata.

"Nakikita na ng mga kasanayan sa seguridad ng supply chain ng software na nakapaloob sa SLSA at SSDF, ngunit may sapat na espasyo para sa higit pa," nagtatapos ang ulat.

Ang pagpapanatiling masaya sa mga kawani ay maaaring magbago rin ng mga resulta ng seguridad. Nalaman ng Google na ang mga tagapag-empleyo na nagbigay sa kawani ng opsyon ng hybrid na pagtatrabaho ay mas mahusay na gumanap at dumanas ng mas mababang pagka-burnout.

"Ipinakita ng mga natuklasan na ang mga organisasyong may mas mataas na antas ng kakayahang umangkop ng empleyado ay may mas mataas na pagganap ng organisasyon kumpara sa mga organisasyong may mas mahigpit na kaayusan sa trabaho. Ang mga natuklasang ito ay nagbibigay ng katibayan na ang pagbibigay sa mga empleyado ng kalayaan na baguhin ang kanilang mga kaayusan sa trabaho kung kinakailangan ay may nasasalat at direktang mga benepisyo para sa isang organisasyon," ang sabi ng Google.   

Napunta ang Google sa madilim na teritoryo ng paghiling sa mga sumasagot na hulaan kung paano naapektuhan ng mga istilo ng trabaho ang mga bug sa hinaharap sa pamamagitan ng pagtatanong sa kanila na hulaan ang posibilidad na may maganap na paglabag sa seguridad o kumpletong pagkawala ng trabaho sa susunod na 12 buwan. 

Ang mga taong nagtatrabaho sa "mga organisasyong may mataas na pagganap ay mas malamang na umasa ng isang malaking error na magaganap," sabi ng Google.