Azok a vállalatok, amelyek a fejlesztőikben bíznak, a hibáztatáson túl néznek, és szoros együttműködésre törekszenek, általában olyan intézkedéseket fogadnak el, amelyek hozzájárulnak a biztonságosabb szoftverellátási láncokhoz.
A Google Cloud DevOps Research and Assessment (DORA) csapata által szeptember 2022-án közzétett 28-es éves, 1.4-es Accelerate State of DevOps szerint a jó biztonsági gyakorlatokra összpontosító DevOps-csapatok alacsonyabb kiégési arányt mutattak, míg az alacsony biztonságú csapatok XNUMX többszöröse annak az esélye, hogy a stressz magas szintjét hangoztatja.
Míg a technikai infrastruktúra segített, a felmérés azt mutatja, hogy a megfelelő kultúra elindítása vagy fejlesztése rendkívül fontos.
A jelentés középpontjában álló DORA-felmérés például a DevOps-csapatok 13 különböző szemponthoz való ragaszkodását mérte, a Supply-chain Levels for Software Artifacts (SLSA) biztonsági keretrendszerrel mérve, amely a termékkiadások központi, folyamatos integráció/folyamatos fejlesztés segítségével történő kiépítését teszi szükségessé. (CI/CD) rendszerek, a változástörténet korlátlan tárolása, a szoftverösszeállítások szkripteken keresztül történő meghatározása és a felépítési folyamat elkülönítése. És bár a vállalatok többsége teljesen vagy közepesen alkalmazta mind a 13 gyakorlatot, azok teljesítettek jobban, amelyek jobban együttműködtek és kevésbé hibáztattak – derült ki a DORA felméréséből.
„A nyitottabb, generatívabb kultúrák általában pozitív hatással vannak a szervezeti teljesítményre, valamint az ott dolgozó emberekre” – mondja Todd Kulesza, a jelentés egyik szerzője, a Google Cloud vezető felhasználói élmény (UX) kutatója. . „Amit látni szeretnénk, az az, hogy ha biztonsági probléma merül fel, azt akarjuk, hogy a mérnökök felhatalmazással és biztonságban érezzék magukat, hogy felhívják erre a figyelmet. Nem akarja, hogy a fejlesztők a szőnyeg alá söpörjék a dolgokat, különösen a biztonság tekintetében.”
A felmérés sajnos azt találta, hogy van tennivaló az együttműködés terén: sok szoftverfejlesztő úgy érzi, szakadék tátong a programozók és az alkalmazásbiztonsági csapatok között.
"A nagy súrlódású biztonsági megközelítések frusztrálóak lehetnek a fejlesztők számára, és általában nem hatékonyak, mivel az emberek megpróbálják elkerülni a súrlódási pontokat" - áll a jelentésben. „A fejlesztők, akikkel beszélgettünk, helyesen akartak cselekedni, és gyakran megvitatták azon csalódottságukat, hogy a szállítási funkciók vagy javítások következetesen elsőbbséget élveznek a lehetséges biztonsági problémákkal szemben.”
Supply Chain Security: Kritikus barométer a DevOps teljesítményéhez
Nyolcadik évében a A DevOps Research and Assessment (DORA) csapatának éves jelentése arra törekedett, hogy azonosítsa a legjobb gyakorlatokat azon csapatok körében, amelyek a DevOps megközelítést alkalmazzák a szoftverfejlesztésben. 2021-ben a DORA csoport megállapította, hogy a szoftver-ellátási lánc biztonsága a nagy teljesítményű DevOps-szervezetek kritikus összetevőjévé vált, ezért idén a kutatók arra összpontosítottak, hogy meghatározzák, mi vezetett sikeres eredményekhez ezen a területen.
A felmérésben a Google az ellátási láncok részét képező biztonsági gyakorlatok átvételére összpontosított.
Amellett, hogy a DevOps csapatok ragaszkodnak az SLSA-keretrendszerhez, a felmérés azt kérdezte a fejlesztőktől, hogy milyen mértékben felelnek meg több tucat biztonsági gyakorlatnak, amelyek az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) által létrehozott Secure Software Development Framework (SSDF) keretrendszerét alkotják. .
Azok a szervezetek, amelyeknek nagyon együttműködő csapatai voltak, akik megosztották a kockázatokat és a felelősségeket, és a tanulást helyezték előtérbe a hibáztatás helyett – úgynevezett „generatív” kultúrák - nagyobb valószínűséggel alkalmaznak több mint két tucat ilyen biztonsági gyakorlatot, derült ki a DevOps gyakorlóinak felméréséből.
„Sok ilyen gyakorlatot – nem azt akarom mondani, hogy 100%-ban bevezették a szervezetekben –, de sok ilyen gyakorlat esetében a gyakorló szakemberek 50%-a vagy több arról számol be, hogy bevált vagy nagyon jól bevált” – mondja John Speed. Meyers, a jelentés társszerzője és a Chainguard szoftver-ellátási lánc biztonsági cég biztonsági adattudósa. "Sok hova fejlődnünk, de ezek a dolgok nem olyan nehezek, hogy senki ne tegye meg."
A felmérés a fejlesztői kiégést is mérte, az alapján, hogy mennyire értékelték egyetértésüket az olyan kijelentésekkel, mint „a munkával kapcsolatos érzéseim negatívan befolyásolják a munkán kívüli életemet” és „közömbös vagy cinikus vagyok a munkámmal kapcsolatban”. Azok a csapatok, amelyek nem a biztonságra helyezték a hangsúlyt, 40%-kal nagyobb valószínűséggel értettek egyet vagy teljes mértékben egyetértettek ezekkel az állításokkal.
Ezenkívül azoknál a csapatoknál, amelyeknél a legrosszabb volt a változási kudarc aránya, és a leghosszabb ideig tartott a telepítés – havonta egyszer vagy félévente egyszer –, szintén magas volt a kiégés aránya.
