Google Cloud DORA: zabezpieczenie łańcucha dostaw zaczyna się od kultury

Firmy, które skupiają się na zaufaniu swoim programistom, patrzeniu poza winę i dążeniu do ścisłej współpracy, często widzą większe zastosowanie środków, które przyczyniają się do bezpieczniejszego łańcucha dostaw oprogramowania.

Zgodnie z corocznym 2022 Accelerate State of DevOps opublikowanym 28 września przez zespół DevOps Research and Assessment (DORA) z Google Cloud stwierdził również, że zespoły DevOps, które koncentrowały się na dobrych praktykach bezpieczeństwa, miały niższy wskaźnik wypalenia, a zespoły o niskim poziomie bezpieczeństwa miały 1.4 razy większe prawdopodobieństwo wyrażenia wysokiego poziomu stresu.

Chociaż infrastruktura techniczna pomogła, ankieta pokazuje, że właściwa kultura, począwszy lub rozwijając się, jest niezwykle ważna.

Na przykład ankieta DORA w sercu raportu mierzyła przestrzeganie przez zespoły DevOps 13 różnych aspektów mierzonych za pomocą struktury bezpieczeństwa poziomów łańcucha dostaw dla artefaktów oprogramowania (SLSA), która wymaga tworzenia wersji produktów przy użyciu scentralizowanej ciągłej integracji/ciągłego rozwoju (CI/CD), przechowywanie historii zmian w nieskończoność, definiowanie kompilacji oprogramowania za pomocą skryptów i izolowanie procesu kompilacji. I chociaż większość firm całkowicie lub umiarkowanie wdrożyła wszystkie z 13 praktyk, te, które miały więcej kultury współpracy i mniej zorientowanej na winę, radziły sobie lepiej, jak wynika z badania DORA.

„Bardziej otwarte, generatywne kultury… mają zwykle pozytywny wpływ na wydajność organizacyjną, a także na ludzi, którzy tam pracują” – mówi Todd Kulesza, jeden z autorów raportu i starszy badacz ds. doświadczeń użytkowników (UX) w Google Cloud . „Chcemy zobaczyć — jeśli wystąpi problem z bezpieczeństwem — chcemy, aby inżynierowie czuli się upoważnieni i bezpieczni, aby zwrócić na to uwagę. Nie chcesz, aby twoi programiści zamiatali rzeczy pod dywan, zwłaszcza jeśli chodzi o bezpieczeństwo”.

Ankieta niestety wykazała, że ​​jest wiele do zrobienia na froncie współpracy: wielu programistów uważa, że ​​istnieje przepaść między programistami a zespołami ds. bezpieczeństwa aplikacji.

„Podejście do bezpieczeństwa o wysokim współczynniku tarcia może być frustrujące dla programistów i ogólnie nieskuteczne, ponieważ ludzie starają się unikać punktów tarcia” – czytamy w raporcie. „Programiści, z którymi rozmawialiśmy, chcieli postępować właściwie i często dyskutowali o frustracji, że funkcje wysyłki lub poprawki konsekwentnie mają pierwszeństwo przed potencjalnymi problemami z bezpieczeństwem”.

Bezpieczeństwo łańcucha dostaw: krytyczny barometr wydajności DevOps

W swoim ósmym roku, Raport roczny zespołu DevOps Research and Assessment (DORA) stara się zidentyfikować najlepsze praktyki wśród zespołów stosujących podejście DevOps do tworzenia oprogramowania. W 2021 r. grupa DORA odkryła, że ​​bezpieczeństwo łańcucha dostaw oprogramowania stało się kluczowym elementem wysokowydajnych organizacji DevOps, więc w tym roku badacze skupili się na ustaleniu, co doprowadziło do pomyślnych wyników na tym froncie.

W ankiecie Google skupiło się na przyjęciu praktyk bezpieczeństwa, które są częścią łańcuchów dostaw.

Oprócz przestrzegania przez zespoły DevOps ram SLSA, w ankiecie zapytano programistów o stopień, w jakim przestrzegają oni dziesiątek praktyk bezpieczeństwa, które tworzą platformę Secure Software Development Framework (SSDF) stworzoną przez amerykański Narodowy Instytut Standardów i Technologii (NIST). .

Organizacje, które miały wysoce współpracujące zespoły, które dzieliły się ryzykiem i obowiązkami, i przedkładały naukę nad obwinianie — tak zwane kultury „generatywne” — byli bardziej skłonni do przyjęcia ponad dwóch tuzinów tych praktyk bezpieczeństwa, wynika z ankiety przeprowadzonej wśród praktyków DevOps.

„Wiele z tych praktyk — nie powiem, że są one w 100% ugruntowane w organizacjach — ale wiele z tych praktyk ma 50% lub więcej praktyków zgłaszających, że są one ugruntowane lub bardzo dobrze ugruntowane” — mówi John Speed Meyers, współautor raportu i naukowiec zajmujący się bezpieczeństwem danych w firmie Chainguard zajmującej się bezpieczeństwem łańcucha dostaw oprogramowania. „Jest dużo miejsca na ulepszenia, ale te rzeczy nie są tak trudne, żeby nikt tego nie robił”.

W ankiecie zmierzono również wypalenie zawodowe programistów na podstawie tego, jak wysoko ocenili oni swoją zgodę na stwierdzenia takie jak „moje odczucia związane z pracą negatywnie wpływają na moje życie poza pracą” oraz „jestem obojętny lub cyniczny wobec mojej pracy”. Zespoły, które nie skupiały się na bezpieczeństwie, o 40% częściej zgadzały się lub zdecydowanie zgadzały się z tymi stwierdzeniami.

Ponadto zespoły, które miały najgorszy wskaźnik niepowodzeń zmian i których wdrażanie trwało najdłużej – od raz w miesiącu do raz na sześć miesięcy – również miały wysokie wskaźniki wypalenia.