Virksomheder, der fokuserer på at stole på deres udviklere, se ud over bebrejdelser og stræber efter et stærkt samarbejde, har en tendens til at se større vedtagelse af foranstaltninger, der bidrager til mere sikre softwareforsyningskæder.
Ifølge den årlige 2022 Accelerate State of DevOps offentliggjort den 28. september af Google Clouds DevOps Research and Assessment (DORA)-team fandt også ud af, at DevOps-teams, der fokuserede på god sikkerhedspraksis, havde en lavere udbrændthedsrate, hvor lavsikkerhedsteams havde 1.4 gange større chance for at give udtryk for høje niveauer af stress.
Mens teknisk infrastruktur hjalp, viser undersøgelsen, at det er ekstremt vigtigt at starte med eller udvikle den rigtige kultur.
For eksempel målte DORA-undersøgelsen i hjertet af rapporten DevOps-teams overholdelse af 13 forskellige aspekter målt af Supply-chain Levels for Software Artifacts (SLSA), som kræver opbygning af produktudgivelser ved hjælp af centraliseret kontinuerlig integration/kontinuerlig udvikling (CI/CD) systemer, lagring af ændringshistorier på ubestemt tid, definition af software builds gennem scripts og isolering af byggeprocessen. Og selvom flertallet af virksomheder helt eller moderat havde implementeret alle de 13 praksisser, klarede dem, der havde mere samarbejdende og mindre skyldorienterede kulturer, det bedre, fandt DORA-undersøgelsen.
"Mere åbne, generative kulturer ... har en tendens til at have positive effekter for organisationens ydeevne såvel som for de mennesker, der arbejder der," siger Todd Kulesza, en af forfatterne til rapporten og seniorforsker i brugeroplevelse (UX) hos Google Cloud . "Det, vi ønsker at se, er - hvis der er et sikkerhedsproblem - vi ønsker, at ingeniørerne skal føle sig bemyndigede og sikre til at gøre opmærksom på det. Du vil ikke have, at dine udviklere fejer tingene ind under gulvtæppet, især hvad angår sikkerheden.”
Undersøgelsen viste desværre, at der er arbejde at gøre på den kollaborative front: Mange softwareudviklere føler, at der er en kløft mellem programmører og applikationssikkerhedsteams.
"Højfriktionstilgange til sikkerhed kan være frustrerende for udviklere og generelt ineffektive, da folk forsøger at undgå friktionspunkterne," hedder det i rapporten. "Udviklerne, vi talte med, ønskede at gøre det rigtige og diskuterede ofte frustration over, at forsendelsesfunktioner eller rettelser konsekvent havde prioritet over potentielle sikkerhedsproblemer."
Supply Chain Security: Kritisk barometer for DevOps-ydelse
I sit ottende år, den DevOps Research and Assessment (DORA) teams årsrapport har stræbt efter at identificere bedste praksis blandt teams, der bruger DevOps-tilgangen til softwareudvikling. I 2021 fandt DORA-gruppen ud af, at softwareforsyningskædesikkerhed var blevet en kritisk komponent i højtydende DevOps-organisationer, så i år fokuserede forskerne på at bestemme, hvad der førte til succesfulde resultater på den front.
I undersøgelsen fokuserede Google på indførelse af sikkerhedspraksis, der er en del af forsyningskæderne.
Ud over DevOps-holdenes overholdelse af SLSA-rammen, spurgte undersøgelsen udviklerne, i hvilken grad de overholder snesevis af sikkerhedspraksis, der udgør Secure Software Development Framework (SSDF) skabt af US National Institute of Standards and Technology (NIST) .
Organisationer, der havde meget samarbejdsvillige teams, der delte risici og ansvar og prioriterede læring frem for skyld — såkaldte "generative" kulturer — var mere tilbøjelige til at anvende mere end to dusin af disse sikkerhedspraksis, viste undersøgelsen blandt DevOps-udøvere.
"Mange af disse praksisser - jeg vil ikke sige, at de er 100% etableret på tværs af organisationer - men mange af disse praksisser har 50% eller flere af praktikere, der rapporterer, at det er etableret eller meget veletableret," siger John Speed Meyers, en medforfatter af rapporten og en sikkerhedsdataforsker hos softwareforsyningskædesikkerhedsfirmaet Chainguard. "Der er meget plads til forbedringer, men disse ting er ikke så svære, at ingen gør det."
Undersøgelsen målte også udviklerudbrændthed baseret på, hvor højt de vurderede deres enighed med udsagn som "mine følelser omkring arbejde påvirker mit liv uden for arbejdet negativt" og "Jeg er ligeglad eller kynisk omkring mit arbejde." Hold, der ikke fokuserede på sikkerhed, var 40 % mere tilbøjelige til at være enige eller meget enige i disse udsagn.
Derudover havde teams, der havde de værste fejlrater for ændringer og tog længst tid at implementere - alt fra én gang om måneden til én gang hver sjette måned - også høje udbrændthedsrater.
