Ettevõtted, kes keskenduvad oma arendajate usaldamisele, süüst kaugemale vaatamisele ja tugeva koostöö poole püüdlevad, näevad tavaliselt rohkem meetmeid, mis aitavad kaasa turvalisematele tarkvara tarneahelatele.
Vastavalt 2022. septembril avaldatud Google Cloudi DevOpsi uurimise ja hindamise (DORA) tiim leidis ka 28. aasta 1.4. aasta DevOpsi kiirendamise olukorra kohaselt, et headele turbetavadele keskendunud DevOpsi meeskondadel oli madalam läbipõlemismäär, madala turvalisusega meeskondadel oli XNUMX korda suurem tõenäosus kõrge stressitaseme väljendamiseks.
Kuigi tehniline infrastruktuur aitas, näitab uuring, et õige kultuuriga alustamine või selle arendamine on äärmiselt oluline.
Näiteks aruande keskmes olevas DORA uuringus mõõdeti DevOpsi meeskondade järgimist 13 erinevale aspektile, mida mõõdeti tarkvaraartefaktide tarneahela tasemete (SLSA) turberaamistikuga, mis nõuab toodete väljalaske loomist, kasutades tsentraliseeritud pidevat integreerimist/pidevat arendust. (CI/CD) süsteemid, mis salvestavad muudatuste ajalugu lõputult, määratlevad tarkvara järge skriptide kaudu ja eraldavad ehitusprotsessi. Ja kuigi enamik ettevõtteid oli kõiki 13 praktikat täielikult või mõõdukalt rakendanud, läks DORA küsitlusest paremini need, kellel oli rohkem koostööle suunatud ja vähem süüdlastele orienteeritud kultuure.
"Avatumatel, generatiivsetel kultuuridel … on tavaliselt positiivne mõju nii organisatsiooni toimimisele kui ka seal töötavatele inimestele," ütleb üks raporti autoreid ja Google Cloudi kasutajakogemuse (UX) vanemteadur Todd Kulesza. . "Mida me tahame näha, on see, et kui on turvaprobleeme, tahame, et insenerid tunneksid end sellele tähelepanu juhtimiseks volitatud ja turvaliselt. Te ei taha, et teie arendajad pühiksid asjad vaiba alla, eriti turvalisuse mõttes.
Kahjuks selgus uuringust, et koostöö valdkonnas on veel tööd: paljud tarkvaraarendajad tunnevad, et programmeerijate ja rakenduste turvameeskondade vahel valitseb lõhe.
"Kõrge hõõrdumisega lähenemine turvalisusele võib olla arendajatele pettumust valmistav ja üldiselt ebatõhus, kuna inimesed püüavad hõõrdepunkte vältida," seisab aruandes. "Arendajad, kellega me rääkisime, tahtsid teha õiget asja ja arutasid sageli pettumust, et tarnefunktsioonid või parandused on järjekindlalt potentsiaalsetest turvaprobleemidest tähtsamad."
Tarneahela turvalisus: kriitiline baromeeter DevOpsi jõudluse jaoks
Kaheksandal aastal, DevOps Research and Assessment (DORA) meeskonna aastaaruanne on püüdnud tuvastada parimaid tavasid meeskondade seas, kes kasutavad tarkvaraarenduses DevOpsi lähenemisviisi. 2021. aastal leidis DORA grupp, et tarkvara tarneahela turvalisus on muutunud suure jõudlusega DevOpsi organisatsioonide oluliseks komponendiks, nii et sel aastal keskendusid teadlased selle väljaselgitamisele, mis viis sellel alal edukate tulemusteni.
Uuringus keskendus Google turbetavade kasutuselevõtule, mis on osa tarneahelatest.
Lisaks sellele, et DevOpsi meeskonnad järgisid SLSA raamistikku, küsiti uuringus arendajatelt, mil määral nad järgivad kümneid turvatavasid, mis moodustavad USA riikliku standardite ja tehnoloogia instituudi (NIST) loodud turvalise tarkvara arendamise raamistiku (SSDF). .
Organisatsioonid, millel oli koostööaldis meeskonnad, kes jagasid riske ja vastutust ning eelistasid õppimist süüdistamise asemel – niinimetatud "generatiivsed" kultuurid — DevOpsi praktikute küsitlusest selgus, et nad võtsid tõenäolisemalt kasutusele rohkem kui kaks tosinat neist turvatavadest.
„Paljud neist tavadest – ma ei ütle, et need on organisatsioonide lõikes 100% väljakujunenud –, kuid paljude nende tavade puhul on 50% või rohkem praktikuid teatanud, et see on väljakujunenud või väga hästi välja kujunenud,“ ütleb John Speed. Meyers, aruande kaasautor ja tarkvara tarneahela turvafirma Chainguard turbeandmete teadlane. "Arenguruumi on palju, kuid need asjad pole nii rasked, et keegi seda ei teeks."
Uuringus mõõdeti ka arendajate läbipõlemist, lähtudes sellest, kui kõrgelt nad hindasid oma nõustumist väidetega, nagu "minu tunded töö suhtes mõjutavad minu elu väljaspool tööd negatiivselt" ja "olen oma töö suhtes ükskõikne või küüniline". Meeskonnad, kes ei keskendunud turvalisusele, nõustusid nende väidetega 40% tõenäolisemalt või nõustusid nendega täielikult.
Lisaks oli kõrge läbipõlemise protsent meeskondadel, mille muudatuste ebaõnnestumise määr oli kõige halvem ja mille kasutuselevõtt võttis kõige kauem aega – kord kuus kuni kord kuue kuu jooksul.
