개발자를 신뢰하고, 책임을 회피하며, 강력한 협력을 위해 노력하는 회사는 보다 안전한 소프트웨어 공급망에 기여하는 조치를 더 많이 채택하는 경향이 있습니다.
Google Cloud의 DORA(DevOps Research and Assessment) 팀이 2022월 28일에 발표한 1.4 Accelerate State of DevOps에 따르면 우수한 보안 사례에 중점을 둔 DevOps 팀은 번아웃 비율이 낮았으며 보안 수준이 낮은 팀은 XNUMX를 기록했습니다. 높은 수준의 스트레스를 호소할 확률이 몇 배 더 높습니다.
기술 인프라가 도움이 되었지만 설문 조사에 따르면 올바른 문화를 시작하거나 개발하는 것이 매우 중요합니다.
예를 들어, 보고서의 핵심에 있는 DORA 설문조사는 중앙 집중식 지속적 통합/지속적 개발을 사용하여 제품 릴리스를 구축해야 하는 SLSA(Supply-chain Levels for Software Artifacts) 보안 프레임워크로 측정한 13가지 측면에 대한 DevOps 팀의 준수를 측정했습니다. (CI/CD) 시스템, 변경 기록을 무기한 저장하고 스크립트를 통해 소프트웨어 빌드를 정의하고 빌드 프로세스를 격리합니다. 그리고 대다수의 기업이 13가지 관행을 모두 완전히 또는 적당히 구현했지만, 더 협력적이고 덜 비난하는 문화를 가진 기업이 더 나은 성과를 보였습니다.
보고서 작성자 중 한 명이자 Google Cloud의 선임 UX(사용자 경험) 연구원인 Todd Kulesza는 "보다 개방적이고 생성적인 문화는 조직의 성과와 조직에서 일하는 사람들에게 긍정적인 영향을 미치는 경향이 있습니다."라고 말합니다. . “우리가 보고 싶은 것은 보안 문제가 있는 경우 엔지니어가 권한을 부여받고 안전하다고 느끼길 원한다는 것입니다. 특히 보안 측면에서 개발자가 모든 것을 샅샅이 뒤지는 것을 원하지 않습니다.”
이 설문조사는 불행히도 협업 측면에서 해야 할 일이 있음을 발견했습니다. 많은 소프트웨어 개발자는 프로그래머와 애플리케이션 보안 팀 사이에 간극이 있다고 생각합니다.
보고서는 “보안에 대한 고마찰 접근 방식은 사람들이 마찰 지점을 피하려고 하기 때문에 개발자에게 좌절감을 줄 수 있고 전반적으로 비효율적일 수 있습니다.”라고 말했습니다. "우리와 대화한 개발자들은 올바른 일을 하기를 원했고, 기능이나 수정 사항을 제공하는 것이 잠재적인 보안 문제보다 일관되게 우선시된다는 불만에 대해 자주 논의했습니다."
공급망 보안: DevOps 성능을 위한 중요한 지표
여덟째 해에 DevOps 연구 및 평가(DORA) 팀의 연례 보고서 소프트웨어 개발에 DevOps 접근 방식을 사용하는 팀 사이에서 모범 사례를 식별하기 위해 노력했습니다. 2021년에 DORA 그룹은 소프트웨어 공급망 보안이 고성능 DevOps 조직의 중요한 구성 요소가 되었음을 발견했으며, 따라서 올해 연구원들은 이러한 측면에서 성공적인 결과를 가져온 요인을 결정하는 데 집중했습니다.
설문 조사에서 Google은 공급망의 일부인 보안 관행을 채택하는 데 중점을 두었습니다.
DevOps 팀의 SLSA 프레임워크 준수 외에도 이 설문조사는 개발자들에게 미국 NIST(National Institute of Standards and Technology)에서 만든 SSDF(Secure Software Development Framework)를 구성하는 수십 가지 보안 관행을 준수하는 정도를 묻습니다. .
위험과 책임을 공유하고 비난보다 학습을 우선시하는 고도로 협력적인 팀이 있는 조직 — 이른바 '생산적' 문화 — DevOps 실무자를 대상으로 한 설문 조사에 따르면 이러한 보안 관행 중 XNUMX개 이상을 채택할 가능성이 더 높았습니다.
John Speed는 "이러한 관행 중 상당수가 조직 전체에 100% 확립되어 있다고 말하지는 않겠습니다. 하지만 이러한 관행 중 상당수는 50% 이상의 실무자가 확립되었거나 매우 잘 확립되어 있다고 보고했습니다"라고 말합니다. 보고서의 공동 저자이자 소프트웨어 공급망 보안 회사인 Chainguard의 보안 데이터 과학자인 Meyers는 "개선의 여지가 많이 있지만, 이러한 일들이 너무 어려워서 아무도 하지 않는 것은 아닙니다."
설문 조사는 또한 "일에 대한 나의 감정이 직장 밖의 삶에 부정적인 영향을 미친다" 및 "나는 내 일에 대해 무관심하거나 냉소적이다"와 같은 진술에 얼마나 동의하는지를 기반으로 개발자 번아웃을 측정했습니다. 보안에 중점을 두지 않은 팀은 이러한 진술에 동의하거나 강력하게 동의할 가능성이 40% 더 높았습니다.
또한 변경 실패율이 가장 낮고 배포 시간이 가장 오래 걸리는 팀(한 달에 한 번에서 XNUMX개월에 한 번)도 번아웃 비율이 높았습니다.
