Google Cloud DORA: Säkra försörjningskedjan börjar med kultur

Företag som fokuserar på att lita på sina utvecklare, se bortom skulden och sträva efter ett starkt samarbete tenderar att se större antagande av åtgärder som bidrar till säkrare mjukvaruförsörjningskedjor.

Enligt den årliga 2022 Accelerate State of DevOps publicerad den 28 september av Google Clouds DevOps Research and Assessment (DORA)-team fann också att DevOps-team som fokuserade på goda säkerhetsrutiner hade en lägre frekvens av utbrändhet, med lågsäkerhetsteam som hade 1.4 gånger större chans att uttrycka höga nivåer av stress.

Även om teknisk infrastruktur hjälpte, visar undersökningen att det är oerhört viktigt att börja med, eller utveckla, rätt kultur.

Till exempel mätte DORA-undersökningen i hjärtat av rapporten DevOps-teams efterlevnad av 13 olika aspekter mätt av Supply-chain Levels for Software Artifacts (SLSA) säkerhetsramverket, som kräver att produktreleaser skapas med centraliserad kontinuerlig integration/kontinuerlig utveckling (CI/CD)-system, lagring av förändringshistorik på obestämd tid, definierar mjukvarubyggen genom skript och isolerar byggprocessen. Och även om majoriteten av företagen helt eller måttligt hade implementerat alla de 13 metoderna, gick de som hade mer samarbetande och mindre skuldorienterade kulturer bättre, fann DORA-undersökningen.

"Öppnare, generativa kulturer ... tenderar att ha positiva effekter för organisationens prestanda såväl som för människorna som arbetar där", säger Todd Kulesza, en av författarna till rapporten och en senior forskare om användarupplevelse (UX) på Google Cloud . "Vad vi vill se är - om det finns ett säkerhetsproblem - vi vill att ingenjörerna ska känna sig bemyndigade och säkra att uppmärksamma det. Du vill inte att dina utvecklare ska sopa saker under mattan, särskilt när det gäller säkerheten.”

Undersökningen visade tyvärr att det finns arbete att göra på samarbetsfronten: Många mjukvaruutvecklare känner att det finns en klyfta mellan programmerare och applikationssäkerhetsteam.

"Högfriktionsstrategier för säkerhet kan vara frustrerande för utvecklare och ineffektiva överlag, eftersom människor försöker undvika friktionspunkterna", heter det i rapporten. "Utvecklarna vi pratade med ville göra rätt sak och diskuterade ofta frustration över att leveransfunktioner eller korrigeringar konsekvent prioriterades framför potentiella säkerhetsproblem."

Supply Chain Security: Kritisk barometer för DevOps-prestanda

Under sitt åttonde år, DevOps Research and Assessment (DORA)-teamets årsrapport har strävat efter att identifiera bästa praxis bland team som använder DevOps-metoden för mjukvaruutveckling. År 2021 fann DORA-gruppen att säkerhet för mjukvaruförsörjningskedjan hade blivit en kritisk komponent i högpresterande DevOps-organisationer, så i år fokuserade forskarna på att avgöra vad som ledde till framgångsrika resultat på den fronten.

De flesta DevOps-teamen har antagit SLSA-praxis. Källa: Google Clouds DORA-rapport 2022.

I undersökningen fokuserade Google på införandet av säkerhetspraxis som ingår i leveranskedjorna.

Utöver DevOps-teamens anslutning till SLSA-ramverket, frågade undersökningen utvecklarna i vilken grad de följer dussintals säkerhetspraxis som bildar Secure Software Development Framework (SSDF) skapat av US National Institute of Standards and Technology (NIST) .

Organisationer som hade mycket samarbetsvilliga team som delade risker och ansvar och som prioriterade lärande framför skuld — så kallade "generativa" kulturer — var mer benägna att använda mer än två dussin av dessa säkerhetsrutiner, fann undersökningen bland DevOps-utövare.

"Många av dessa metoder – jag tänker inte säga att de är 100 % etablerade i organisationer – men många av dessa metoder har 50 % eller fler av utövarna som rapporterar att de är etablerade eller mycket väletablerade”, säger John Speed Meyers, en medförfattare till rapporten och en säkerhetsdataforskare på säkerhetsföretaget Chainguard för mjukvaruförsörjningskedjan. "Det finns mycket utrymme för förbättringar, men de här sakerna är inte så svåra att ingen gör det."

Undersökningen mätte också utbrändhet för utvecklare, baserat på hur högt de värderade deras överensstämmelse med uttalanden som "mina känslor om arbete påverkar mitt liv utanför jobbet negativt" och "Jag är likgiltig eller cynisk om mitt arbete." Lag som inte fokuserade på säkerhet var 40 % mer benägna att hålla med eller helt instämma i dessa påståenden.

Dessutom hade team som hade de värsta förändringsfelfrekvensen och som tog längst tid att distribuera - allt från en gång i månaden till en gång var sjätte månad - också höga utbrändhet.

Generativ dataintelligens

Google Cloud DORA: Att säkra leveranskedjan börjar med kultur

Supply Chain Security: Kritisk barometer för DevOps-prestanda

Ethereum, Solana och Altcoins närmar sig "bananzonen", enligt makroguru Raoul Pal - Här är hans utsikter - The Daily Hodl

Brittiska brottsbekämpande myndigheter kan nu beslagta krypto enklare när nya regler träder i kraft

Senaste intelligens

Bitcoin riskerar att förlora 7.2 miljarder dollar om BTC-priset når denna nivå

Meme-myntet Dog Go To The Moon överstiger börsvärdet på 500 miljoner dollar

Varför många "Zombie Blockchains" fortfarande har börsvärden i miljarder dollar - Unchained

Spot Crypto ETF:er inställd på att börja handla i Hong Kong nästa vecka: Rapport – The Daily Hodl

Cardano-kris eller comeback? ADA:s nyckeltal träffar lågt, vad detta betyder för investerare

Toppval av memmynt för långtidsinnehav: Dogecoin (DOGE), Shiba Inu (SHIB) och Furrever Token (FURR)

Chatta med oss