Bạn muốn tránh vi phạm dữ liệu? Thực hiện DevOps và để các nhà phát triển làm việc tại nhà, Google cho biết

DevOps, mang đến các bản cập nhật phần mềm nhanh hơn, có thể giúp ngăn chặn sự đổ bộ của hồ sơ bị lộ do vi phạm dữ liệu, nhưng nghiên cứu của Google phát hiện ra rằng các phương pháp hiện có không đáp ứng được nhiệm vụ trong tầm tay.   

Google đã khảo sát 33,000 chuyên gia công nghệ để khám phá cách DevOps - nghĩa là điều chỉnh việc phát triển phần mềm với các hoạt động CNTT - tác động đến an ninh mạng như một phần hàng năm của nó Tăng tốc báo cáo trạng thái DevOps. Như nó lưu ý, hơn 22 tỷ bản ghi đã bị phanh phui vào năm 2021 thông qua 4,145 vi phạm đã được công khai.

Báo cáo được đưa ra khi công ty viễn thông Optus của Úc xử lý hậu quả từ một vụ vi phạm lớn làm lộ thông tin nhận dạng cá nhân (PII) của gần 10 triệu cư dân sau khi một tin tặc trên internet tấn công giao diện lập trình ứng dụng (API) trên một điểm cuối được lưu trữ trên đám mây không yêu cầu mật khẩu để truy cập. 

Cuộc khảo sát của Google tập trung vào bảo mật chuỗi cung ứng phần mềm - một lĩnh vực bảo mật được chú ý nhiều hơn sau cuộc tấn công SolarWinds vào năm 2020 và lỗ hổng mã nguồn mở Log4Shell trong năm nay. Hai trường hợp này đã thay đổi cách ngành công nghệ quản lý các quy trình phát triển phần mềm và sử dụng các thành phần, chẳng hạn như thư viện và gói ngôn ngữ trong các sản phẩm và dịch vụ khác.   

DevOps nhằm mục đích tăng tốc phát hành phần mềm trong khi vẫn duy trì chất lượng và ngày càng tập trung vào các bản cập nhật bảo mật. Nhưng bao nhiêu đã thay đổi kể từ vụ vi phạm SolarWinds và Log4Shell?

Để ước tính điều này, Google đã sử dụng khái niệm Dự luật Vật liệu Phần mềm (SBOM) mà Nhà Trắng đã hướng dẫn các cơ quan liên bang của Hoa Kỳ thực hiện vào năm 2021, được gọi là Các cấp độ chuỗi cung ứng cho các Đồ tạo tác An toàn (SLSA).

Một trong những ý tưởng quan trọng của Google là, đối với các dự án nguồn mở lớn, hai nhà phát triển nên ký bằng mật mã các thay đổi được thực hiện đối với mã nguồn. Phương pháp này sẽ ngăn những kẻ tấn công được nhà nước tài trợ xâm phạm hệ thống xây dựng phần mềm của SolarWinds bằng cách cài đặt một bộ cấy ghép vào một cửa sau trong mỗi lần xây dựng mới. Google cũng sử dụng NIST's Khung phát triển phần mềm an toàn (SSDF) làm đường cơ sở trong cuộc khảo sát. 

Google nhận thấy rằng 63% người được hỏi đã sử dụng tính năng quét bảo mật cấp ứng dụng như một phần của hệ thống tích hợp liên tục / phân phối liên tục (CI / CD) cho các bản phát hành sản xuất. Nó cũng phát hiện ra rằng hầu hết các nhà phát triển đang lưu giữ lịch sử mã và sử dụng các tập lệnh xây dựng.

Đó là một xu hướng đáng yên tâm, mặc dù chưa đến 50% đang thực hành đánh giá hai người về các thay đổi mã và chỉ 43% đang ký siêu dữ liệu.

“Các phương pháp bảo mật chuỗi cung ứng phần mềm được thể hiện trong SLSA và SSDF đã cho thấy mức độ áp dụng khiêm tốn, nhưng vẫn còn nhiều chỗ cho nhiều điều hơn nữa,” báo cáo kết luận.

Giữ cho nhân viên vui vẻ cũng có thể thay đổi kết quả bảo mật. Google nhận thấy rằng các nhà tuyển dụng cho nhân viên tùy chọn làm việc kết hợp hoạt động tốt hơn và ít bị kiệt sức hơn.

“Kết quả cho thấy rằng các tổ chức có mức độ linh hoạt của nhân viên cao hơn có hiệu suất tổ chức cao hơn so với các tổ chức có sự sắp xếp công việc chặt chẽ hơn. Những phát hiện này cung cấp bằng chứng cho thấy việc cho phép nhân viên tự do sửa đổi sắp xếp công việc của họ khi cần thiết sẽ mang lại lợi ích trực tiếp và hữu hình cho một tổ chức ”, Google lưu ý.   

Google đã lấn sân sang lĩnh vực âm u khi yêu cầu người trả lời dự báo cách thức làm việc ảnh hưởng đến các lỗi trong tương lai bằng cách yêu cầu họ dự đoán khả năng xảy ra vi phạm bảo mật hoặc mất điện hoàn toàn trong 12 tháng tới. 

Những người làm việc tại “các tổ chức hoạt động hiệu quả ít có khả năng xảy ra lỗi lớn”, Google cho biết.