Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Google Cloud DORA: het beveiligen van de toeleveringsketen begint met cultuur

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 114

Bedrijven die zich richten op het vertrouwen van hun ontwikkelaars, verder kijken dan de schuld en streven naar sterke samenwerking, zien over het algemeen vaker maatregelen nemen die bijdragen aan veiligere softwaretoeleveringsketens.

Volgens de jaarlijkse Accelerate State of DevOps in 2022, gepubliceerd op 28 september door het DevOps Research and Assessment (DORA)-team van Google Cloud, ontdekten ook dat DevOps-teams die zich richtten op goede beveiligingspraktijken een lager burn-outpercentage hadden, terwijl teams met een lage beveiliging 1.4 maal grotere kans op het uiten van hoge niveaus van stress.

Hoewel technische infrastructuur hielp, blijkt uit het onderzoek dat het starten met of ontwikkelen van de juiste cultuur enorm belangrijk is.

De DORA-enquête in het hart van het rapport mat bijvoorbeeld de naleving van DevOps-teams van 13 verschillende aspecten gemeten door het Supply-chain Levels for Software Artifacts (SLSA)-beveiligingsraamwerk, waarin wordt opgeroepen tot het bouwen van productreleases met behulp van gecentraliseerde continue integratie/continue ontwikkeling (CI/CD)-systemen, het voor onbepaalde tijd opslaan van wijzigingsgeschiedenissen, het definiëren van software-builds door middel van scripts en het isoleren van het bouwproces. En hoewel de meerderheid van de bedrijven alle 13 praktijken volledig of matig had geïmplementeerd, deden degenen met een meer collaboratieve en minder schuldgerichte cultuur het beter, zo bleek uit de DORA-enquête.

"Meer open, generatieve culturen ... hebben meestal positieve effecten op de prestaties van de organisatie en ook op de mensen die er werken", zegt Todd Kulesza, een van de auteurs van het rapport en senior user experience (UX)-onderzoeker bij Google Cloud . "Wat we willen zien is - als er een beveiligingsprobleem is - we willen dat de ingenieurs zich bevoegd en veilig voelen om daar de aandacht op te vestigen. Je wilt niet dat je ontwikkelaars dingen onder het tapijt vegen, vooral niet op het gebied van beveiliging.”

Uit het onderzoek bleek helaas dat er werk aan de winkel is op het gebied van samenwerking: veel softwareontwikkelaars hebben het gevoel dat er een kloof is tussen programmeurs en applicatiebeveiligingsteams.

"Frustrerende benaderingen van beveiliging kunnen frustrerend zijn voor ontwikkelaars en in het algemeen ineffectief, omdat mensen de wrijvingspunten proberen te vermijden", aldus het rapport. "De ontwikkelaars met wie we spraken wilden het juiste doen, en bespraken vaak de frustratie dat het verzenden van functies of fixes consequent prioriteit kreeg boven potentiële beveiligingsproblemen."

Supply Chain Security: kritische barometer voor DevOps-prestaties

In zijn achtste jaar heeft de Jaarverslag DevOps Research and Assessment (DORA) team heeft ernaar gestreefd om best practices te identificeren onder teams die de DevOps-benadering van softwareontwikkeling gebruiken. In 2021 ontdekte de DORA-groep dat de beveiliging van de toeleveringsketen van software een cruciaal onderdeel was geworden van goed presterende DevOps-organisaties, dus dit jaar richtten de onderzoekers zich op het bepalen wat leidde tot succesvolle resultaten op dat vlak.

De meeste DevOps-teams hebben SLSA-praktijken aangenomen. Bron: DORA-rapport 2022 van Google Cloud.

In het onderzoek richtte Google zich op de acceptatie van beveiligingspraktijken die deel uitmaken van toeleveringsketens.

Naast de naleving van de DevOps-teams van het SLSA-framework, vroeg het onderzoek ontwikkelaars in hoeverre ze voldoen aan tientallen beveiligingspraktijken die het Secure Software Development Framework (SSDF) vormen, gecreëerd door het Amerikaanse National Institute of Standards and Technology (NIST) .

Organisaties met zeer coöperatieve teams die risico's en verantwoordelijkheden deelden, en die prioriteit gaven aan leren boven schuld — zogenaamde "generatieve" culturen - hadden meer kans om meer dan twee dozijn van die beveiligingspraktijken over te nemen, zo bleek uit het onderzoek onder DevOps-beoefenaars.

"Veel van deze praktijken - ik ga niet zeggen dat ze voor 100% in verschillende organisaties zijn gevestigd - maar bij veel van deze praktijken meldt 50% of meer van de beoefenaars dat ze gevestigd of zeer goed ingeburgerd zijn", zegt John Speed. Meyers, co-auteur van het rapport en security data scientist bij Chainguard, een beveiligingsbedrijf voor softwaretoeleveringsketens. "Er is veel ruimte voor verbetering, maar deze dingen zijn niet zo moeilijk dat niemand het doet."

In het onderzoek werd ook de burn-out van ontwikkelaars gemeten, gebaseerd op hoe hoog ze hun instemming met uitspraken als "mijn gevoelens over werk hebben een negatieve invloed op mijn leven buiten het werk" en "Ik ben onverschillig of cynisch over mijn werk." Teams die zich niet op beveiliging richtten, hadden 40% meer kans om het eens of helemaal eens te zijn met deze stellingen.

Bovendien hadden teams met de hoogste uitvalpercentages voor wijzigingen en het langst nodig hebben van implementatie - van eens per maand tot eens per zes maanden - ook een hoge mate van burn-out.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.