Geliştiricilerine güvenmeye, suçun ötesine bakmaya ve güçlü işbirliği için çabalamaya odaklanan şirketler, daha güvenli yazılım tedarik zincirlerine katkıda bulunan önlemlerin daha fazla benimsendiğini görme eğilimindedir.
Google Cloud'un DevOps Araştırma ve Değerlendirme (DORA) ekibi tarafından 2022 Eylül'de yayınlanan yıllık 28 DevOps Hızlandırma Durumu'na göre, iyi güvenlik uygulamalarına odaklanan DevOps ekiplerinin daha düşük tükenmişlik oranına sahip olduğunu ve düşük güvenlikli ekiplerin 1.4'e sahip olduğunu buldu. yüksek stres seviyelerini dile getirme olasılığı kat kat daha fazladır.
Teknik altyapı yardımcı olsa da, anket doğru kültürle başlamanın veya geliştirmenin son derece önemli olduğunu gösteriyor.
Örneğin, raporun merkezinde yer alan DORA anketi, DevOps ekiplerinin, merkezileştirilmiş sürekli entegrasyon/sürekli geliştirme kullanarak ürün sürümleri oluşturmayı gerektiren Yazılım Yapıları için Tedarik Zinciri Düzeyleri (SLSA) güvenlik çerçevesi tarafından ölçülen 13 farklı yönüne bağlılığını ölçtü. (CI/CD) sistemleri, değişiklik geçmişlerini süresiz olarak saklama, yazılım yapılarını komut dosyaları aracılığıyla tanımlama ve oluşturma sürecini izole etme. DORA araştırması, şirketlerin çoğunluğunun 13 uygulamanın tümünü tamamen veya orta derecede uygulamış olmasına rağmen, daha işbirlikçi ve daha az suçlamaya yönelik kültürlere sahip olanların daha iyi performans gösterdiğini ortaya koydu.
Raporun yazarlarından biri ve Google Cloud'da kıdemli bir kullanıcı deneyimi (UX) araştırmacısı olan Todd Kulesza, "Daha açık, üretken kültürler... kuruluş performansı ve orada çalışan insanlar için olumlu etkilere sahip olma eğilimindedir" diyor. . "Görmek istediğimiz şey - bir güvenlik sorunu varsa - mühendislerin buna dikkat çekmek için kendilerini güçlü ve güvende hissetmelerini istiyoruz. Geliştiricilerinizin, özellikle güvenlik açısından, işleri halının altına süpürmesini istemezsiniz.”
Anket, ne yazık ki, işbirlikçi cephede yapılacak işler olduğunu buldu: Birçok yazılım geliştiricisi, programcılar ve uygulama güvenliği ekipleri arasında bir uçurum olduğunu düşünüyor.
Raporda, "Güvenliğe yönelik yüksek sürtünmeli yaklaşımlar, geliştiriciler için sinir bozucu ve genel olarak etkisiz olabilir, çünkü insanlar sürtünme noktalarından kaçınmaya çalışıyor" dedi. "Konuştuğumuz geliştiriciler doğru olanı yapmak istediler ve genellikle nakliye özelliklerinin veya düzeltmelerinin potansiyel güvenlik sorunlarına göre sürekli olarak öncelik kazanması konusundaki hayal kırıklığını tartıştılar."
Tedarik Zinciri Güvenliği: DevOps Performansı için Kritik Barometre
Sekizinci yılında, DevOps Araştırma ve Değerlendirme (DORA) ekibinin yıllık raporu yazılım geliştirmede DevOps yaklaşımını kullanan ekipler arasındaki en iyi uygulamaları belirlemeye çalışmıştır. 2021'de DORA grubu, yazılım tedarik zinciri güvenliğinin yüksek performanslı DevOps kuruluşlarının kritik bir bileşeni haline geldiğini keşfetti ve bu yıl, araştırmacılar bu cephede neyin başarılı sonuçlara yol açtığını belirlemeye odaklandı.
Ankette Google, tedarik zincirlerinin bir parçası olan güvenlik uygulamalarının benimsenmesine odaklandı.
DevOps ekiplerinin SLSA çerçevesine bağlılığına ek olarak, anket geliştiricilere ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından oluşturulan Güvenli Yazılım Geliştirme Çerçevesini (SSDF) oluşturan düzinelerce güvenlik uygulamasına ne derece uyduklarını sordu. .
Riskleri ve sorumlulukları paylaşan ve suçlama yerine öğrenmeye öncelik veren işbirlikçi ekipleri olan kuruluşlar — sözde “üretici” kültürler — DevOps uygulayıcılarının anketine göre, bu güvenlik uygulamalarından iki düzineden fazlasını benimseme olasılıkları daha yüksekti.
John Speed, "Bu uygulamaların birçoğu — kuruluşlar arasında %100 yerleşik olduklarını söylemeyeceğim - ancak bu uygulamaların birçoğunun %50 veya daha fazla uygulayıcısı, bunun yerleşik veya çok iyi kurulmuş olduğunu bildiriyor" diyor. Raporun ortak yazarı ve yazılım tedarik zinciri güvenlik firması Chainguard'da güvenlik veri bilimcisi olan Meyers. "İyileştirme için çok yer var, ancak bu şeyler o kadar zor değil ki kimse yapmıyor."
Anket ayrıca geliştiricilerin tükenmişliğini "işle ilgili duygularım iş dışındaki hayatımı olumsuz etkiliyor" ve "İşimle ilgili kayıtsız veya alaycıyım" gibi ifadelere katılma derecelerine göre ölçtü. Güvenliğe odaklanmayan ekiplerin bu ifadelere katılma veya kesinlikle katılma olasılığı %40 daha fazlaydı.
Buna ek olarak, değişim başarısızlığı oranlarının en kötü olduğu ve devreye alınması en uzun süren ekiplerde (ayda bir ile altı ayda bir arasında) yüksek tükenmişlik oranları da vardı.
