想要避免数据泄露吗？谷歌表示，进行 DevOps 并让开发人员在家工作

DevOps 带来了更快的软件更新，可以帮助防止数据泄露中大量记录的泄露，但谷歌的研究发现，现有的做法无法满足当前的任务。   

作为其年度调查的一部分，Google 对 33,000 名技术专业人士进行了调查，以探讨 DevOps（广义上意味着使软件开发与 IT 运营保持一致）如何影响网络安全。 加速 DevOps 状态报告。正如它所指出的，超过 22亿条记录 2021 年，共发生 4,145 起已知违规事件。

该报告发布之际，澳大利亚电信公司 Optus 正在处理一次大规模泄露事件的后果，该事件导致近 10 万居民的个人身份信息 (PII) 因互联网上的黑客入侵而暴露。 云托管端点上的应用程序编程接口 (API)，无需密码即可访问. 

Google 的调查重点是软件供应链安全——在 2020 年 SolarWinds 攻击和今年开源 Log4Shell 漏洞之后，这一安全领域受到了更加密切的关注。这两个案例改变了科技行业管理软件开发流程和使用组件（例如其他产品和服务中的库和语言包）的方式。   

DevOps 旨在加速软件发布，同时保持质量，并越来越关注安全更新。但自 SolarWinds 漏洞和 Log4Shell 事件以来发生了多少变化？

为了估计这一点，谷歌使用了软件材料清单 (SBOM) 概念，白宫指示美国联邦机构于 2021 年实施该概念，称为 安全工件的供应链级别 （SLSA）。

谷歌的关键想法之一是，对于主要的开源项目，两名开发人员应该以加密方式签署对源代码所做的更改。这种做法可以阻止国家资助的攻击者通过安装在每个新构建期间注入后门的植入程序来破坏 SolarWinds 的软件构建系统。谷歌还使用了 NIST 的 安全软件开发框架 （SDF）作为调查的基线。 

Google 发现，63% 的受访者使用应用程序级安全扫描作为生产版本持续集成/持续交付 (CI/CD) 系统的一部分。它还发现大多数开发人员都保留代码历史记录并使用构建脚本。

这是一个令人放心的趋势，尽管只有不到 50% 的人对代码更改进行两人审查，并且只有 43% 的人签署元数据。

“SLSA 和 SSDF 中体现的软件供应链安全实践已经得到了一定程度的采用，但还有足够的空间进行更多的应用。” 报告的结论是.

让员工满意也可以改变安全结果。谷歌发现，为员工提供混合工作选择的雇主表现更好，倦怠程度更低。

“研究结果表明，与工作安排较为严格的组织相比，员工灵活性较高的组织具有更高的组织绩效。这些发现提供的证据表明，给予员工根据需要修改工作安排的自由会给组织带来切实而直接的好处。”谷歌指出。   

谷歌涉足了一个模糊领域，要求受访者预测未来 12 个月内发生安全漏洞或完全中断的可能性，从而预测工作方式如何影响未来的错误。 

谷歌表示，在“高绩效组织工作的人不太可能预料到会发生重大错误”。