Các công ty tập trung vào việc tin tưởng các nhà phát triển của họ, nhìn xa trông rộng và nỗ lực hợp tác mạnh mẽ có xu hướng áp dụng nhiều hơn các biện pháp góp phần vào chuỗi cung ứng phần mềm an toàn hơn.
Theo Báo cáo trạng thái tăng tốc DevOps năm 2022 hàng năm do nhóm Nghiên cứu và đánh giá DevOps (DORA) của Google Cloud công bố vào ngày 28 tháng 1.4 cũng nhận thấy rằng các nhóm DevOps tập trung vào các phương pháp bảo mật tốt có tỷ lệ kiệt sức thấp hơn, trong khi các nhóm bảo mật thấp có XNUMX khả năng bộc lộ mức độ căng thẳng cao hơn gấp nhiều lần.
Trong khi cơ sở hạ tầng kỹ thuật đã giúp ích, cuộc khảo sát cho thấy rằng bắt đầu hoặc phát triển, văn hóa phù hợp là cực kỳ quan trọng.
Ví dụ: cuộc khảo sát DORA ở trung tâm của báo cáo đã đo lường sự tuân thủ của các nhóm DevOps đối với 13 khía cạnh khác nhau được đo lường bằng khung bảo mật Cấp độ chuỗi cung ứng cho các tạo tác phần mềm (SLSA), trong đó yêu cầu xây dựng các bản phát hành sản phẩm bằng cách sử dụng tích hợp liên tục/phát triển liên tục tập trung (CI/CD), lưu trữ lịch sử thay đổi vô thời hạn, xác định các bản dựng phần mềm thông qua các tập lệnh và tách biệt quá trình xây dựng. Và mặc dù phần lớn các công ty đã thực hiện đầy đủ hoặc vừa phải tất cả 13 phương pháp này, nhưng những công ty có nền văn hóa hợp tác hơn và ít đổ lỗi hơn đã hoạt động tốt hơn, cuộc khảo sát của DORA cho thấy.
Todd Kulesza, một trong những tác giả của báo cáo và là nhà nghiên cứu trải nghiệm người dùng (UX) cấp cao tại Google Cloud, cho biết: “Các nền văn hóa cởi mở, mang tính sáng tạo hơn… có xu hướng có tác động tích cực đến hiệu suất của tổ chức cũng như cho những người làm việc ở đó”. . “Điều chúng tôi muốn thấy là — nếu có vấn đề về bảo mật — chúng tôi muốn các kỹ sư cảm thấy được trao quyền và an toàn để thu hút sự chú ý đến vấn đề đó. Bạn không muốn các nhà phát triển của mình che giấu mọi thứ, đặc biệt là về mặt bảo mật.”
Thật không may, cuộc khảo sát đã phát hiện ra rằng vẫn còn nhiều việc phải làm trên mặt trận hợp tác: Nhiều nhà phát triển phần mềm cảm thấy có khoảng cách giữa các lập trình viên và nhóm bảo mật ứng dụng.
Báo cáo cho biết: “Các phương pháp tiếp cận bảo mật phức tạp có thể gây khó chịu cho các nhà phát triển và không hiệu quả về tổng thể, vì mọi người cố gắng tránh các điểm xung đột”. “Các nhà phát triển mà chúng tôi đã nói chuyện muốn làm điều đúng đắn và thường thảo luận về sự thất vọng khi các tính năng hoặc bản sửa lỗi phát hành luôn được ưu tiên hơn các vấn đề bảo mật tiềm ẩn”.
Bảo mật chuỗi cung ứng: Khí áp kế quan trọng cho hiệu suất DevOps
Vào năm thứ tám, Báo cáo thường niên của nhóm Nghiên cứu và Đánh giá DevOps (DORA) đã cố gắng xác định các phương pháp hay nhất giữa các nhóm sử dụng phương pháp DevOps để phát triển phần mềm. Vào năm 2021, nhóm DORA nhận thấy rằng bảo mật chuỗi cung ứng phần mềm đã trở thành một thành phần quan trọng của các tổ chức DevOps hoạt động hiệu quả, vì vậy năm nay, các nhà nghiên cứu tập trung vào việc xác định điều gì dẫn đến kết quả thành công trên mặt trận đó.
Trong cuộc khảo sát, Google tập trung vào việc áp dụng các phương pháp bảo mật là một phần của chuỗi cung ứng.
Ngoài việc tuân thủ khung SLSA của các nhóm DevOps, cuộc khảo sát còn hỏi các nhà phát triển về mức độ họ tuân thủ hàng chục biện pháp bảo mật hình thành nên Khung phát triển phần mềm an toàn (SSDF) do Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) tạo ra. .
Các tổ chức có các nhóm hợp tác cao, chia sẻ rủi ro và trách nhiệm, và ưu tiên học hỏi hơn là đổ lỗi - cái gọi là văn hóa “sáng tạo” - có nhiều khả năng áp dụng hơn hai tá các phương pháp bảo mật đó, cuộc khảo sát của những người thực hiện DevOps cho thấy.
John Speed cho biết: “Rất nhiều thực tiễn trong số này - tôi sẽ không nói rằng chúng được thiết lập 100% trên khắp các tổ chức - nhưng rất nhiều thực tiễn trong số này có 50% người thực hành trở lên báo cáo rằng nó đã được thiết lập hoặc được thiết lập rất tốt”. Meyers, đồng tác giả của báo cáo và là nhà khoa học dữ liệu bảo mật tại công ty bảo mật chuỗi cung ứng phần mềm Chainguard. “Có rất nhiều chỗ cần cải thiện, nhưng những việc này không khó đến mức không ai làm được.”
Cuộc khảo sát cũng đo lường mức độ kiệt sức của nhà phát triển, dựa trên mức độ họ đánh giá mức độ đồng tình của họ với những tuyên bố như “cảm xúc của tôi về công việc ảnh hưởng tiêu cực đến cuộc sống ngoài công việc của tôi” và “Tôi thờ ơ hoặc hoài nghi về công việc của mình”. Các nhóm không tập trung vào bảo mật có khả năng đồng ý hoặc hoàn toàn đồng ý với những tuyên bố này cao hơn 40%.
Ngoài ra, các nhóm có tỷ lệ thất bại thay đổi tồi tệ nhất và mất nhiều thời gian nhất để triển khai - từ một tháng một lần đến sáu tháng một lần - cũng có tỷ lệ kiệt sức cao.
