专注于信任他们的开发人员、超越指责和努力加强合作的公司往往会看到更多的措施采用有助于更安全的软件供应链。
根据 Google Cloud 的 DevOps 研究与评估 (DORA) 团队于 2022 月 28 日发布的年度 1.4 年 DevOps 加速状态报告还发现,专注于良好安全实践的 DevOps 团队的倦怠率较低,而低安全性团队的倦怠率为 XNUMX表达高水平压力的几率要大几倍。
虽然技术基础设施确实有所帮助,但调查显示,从正确的文化开始或发展正确的文化非常重要。
例如,报告核心的 DORA 调查衡量了 DevOps 团队对软件工件供应链级别 (SLSA) 安全框架衡量的 13 个不同方面的遵守情况,该框架要求使用集中式持续集成/持续开发来构建产品版本(CI/CD) 系统,无限期地存储更改历史,通过脚本定义软件构建,并隔离构建过程。 DORA 的调查发现,尽管大多数公司已经完全或适度地实施了所有 13 种做法,但那些具有更多协作和更少以责备为导向的文化的公司做得更好。
“更开放、更具创造力的文化……往往对组织绩效以及在那里工作的人产生积极影响,”该报告的作者之一、谷歌云高级用户体验 (UX) 研究员 Todd Kulesza 说. “我们希望看到的是——如果存在安全问题——我们希望工程师感到有能力和安全地引起人们的注意。 您不希望您的开发人员掩盖事实,尤其是在安全性方面。”
不幸的是,调查发现在协作方面还有很多工作要做:许多软件开发人员认为程序员和应用程序安全团队之间存在鸿沟。
报告称:“由于人们试图避免摩擦点,高摩擦的安全方法可能会让开发人员感到沮丧,而且总体上是无效的。” “我们与之交谈的开发人员希望做正确的事情,并且经常讨论交付功能或修复始终优先于潜在安全问题的挫败感。”
供应链安全:DevOps 绩效的关键晴雨表
在第八年, DevOps 研究与评估 (DORA) 团队的年度报告 一直努力在使用 DevOps 方法进行软件开发的团队中找出最佳实践。 2021 年,DORA 小组发现软件供应链安全已成为高性能 DevOps 组织的关键组成部分,因此今年,研究人员专注于确定是什么导致了这方面的成功结果。
在调查中,谷歌专注于采用供应链中的安全实践。
除了 DevOps 团队对 SLSA 框架的遵守情况外,该调查还询问了开发人员在多大程度上遵守了美国国家标准与技术研究院 (NIST) 创建的安全软件开发框架 (SSDF) 的数十种安全实践.
拥有高度合作的团队、分担风险和责任、优先学习而不是责备的组织—— 所谓的“生成”文化 — 对 DevOps 从业者的调查发现,他们更有可能采用两打以上的安全实践。
“很多这样的实践——我不会说它们是 100% 跨组织建立的——但其中很多实践有 50% 或更多的从业者报告说它已经建立或非常完善,”John Speed 说Meyers 是该报告的合著者,也是软件供应链安全公司 Chainguard 的安全数据科学家。 “还有很大的改进空间,但这些事情并没有那么难,没有人在做。”
该调查还衡量了开发人员的倦怠程度,基于他们对“我对工作的感觉对我的工作之外的生活产生负面影响”和“我对我的工作漠不关心或愤世嫉俗”等陈述的认同程度。 不关注安全的团队同意或强烈同意这些陈述的可能性要高 40%。
此外,变更失败率最高且部署时间最长的团队——从每月一次到每六个月一次——也有很高的倦怠率。
