Perusahaan yang fokus pada kepercayaan pengembang mereka, melihat tanpa menyalahkan, dan berjuang untuk kerjasama yang kuat cenderung melihat adopsi yang lebih besar dari langkah-langkah yang berkontribusi pada rantai pasokan perangkat lunak yang lebih aman.
Menurut Accelerate State of DevOps 2022 tahunan yang diterbitkan pada 28 September oleh tim DevOps Research and Assessment (DORA) Google Cloud juga menemukan bahwa tim DevOps yang berfokus pada praktik keamanan yang baik memiliki tingkat kelelahan yang lebih rendah, dengan tim dengan keamanan rendah memiliki 1.4 kali lebih besar kemungkinan menyuarakan tingkat stres yang tinggi.
Meskipun infrastruktur teknis memang membantu, survei menunjukkan bahwa memulai dengan, atau mengembangkan, budaya yang tepat sangatlah penting.
Misalnya, survei DORA di inti laporan mengukur kepatuhan tim DevOps terhadap 13 aspek berbeda yang diukur dengan kerangka kerja keamanan Tingkat Rantai Pasokan untuk Artefak Perangkat Lunak (SLSA), yang menyerukan pembuatan rilis produk menggunakan integrasi berkelanjutan/pengembangan berkelanjutan yang terpusat (CI/CD) sistem, menyimpan sejarah perubahan tanpa batas, mendefinisikan perangkat lunak yang dibangun melalui skrip, dan mengisolasi proses pembangunan. Dan meskipun sebagian besar perusahaan telah sepenuhnya atau sedang menerapkan semua dari 13 praktik, mereka yang memiliki lebih banyak budaya kolaboratif dan kurang berorientasi menyalahkan lebih baik, menurut survei DORA.
โBudaya generatif yang lebih terbuka โฆ cenderung memiliki efek positif bagi kinerja organisasi serta orang-orang yang bekerja di sana,โ kata Todd Kulesza, salah satu penulis laporan dan peneliti senior pengalaman pengguna (UX) di Google Cloud . โYang ingin kami lihat adalah โ jika ada masalah keamanan โ kami ingin para insinyur merasa diberdayakan dan aman untuk memperhatikan hal itu. Anda tidak ingin pengembang Anda menyembunyikan hal-hal di bawah karpet, terutama dalam hal keamanan. โ
Sayangnya, survei tersebut menemukan bahwa ada pekerjaan yang harus dilakukan di bidang kolaboratif: Banyak pengembang perangkat lunak merasa ada jurang pemisah antara programmer dan tim keamanan aplikasi.
โPendekatan gesekan tinggi terhadap keamanan dapat membuat frustasi bagi pengembang dan tidak efektif secara keseluruhan, karena orang mencoba menghindari titik gesekan,โ kata laporan itu. โPara pengembang yang kami ajak bicara ingin melakukan hal yang benar, dan sering kali membahas rasa frustrasi karena fitur atau perbaikan pengiriman secara konsisten diprioritaskan daripada potensi masalah keamanan.โ
Keamanan Rantai Pasokan: Barometer Penting untuk Kinerja DevOps
Di tahun kedelapan, Laporan tahunan tim DevOps Research and Assessment (DORA) telah berusaha untuk mengidentifikasi praktik terbaik di antara tim yang menggunakan pendekatan DevOps untuk pengembangan perangkat lunak. Pada tahun 2021, grup DORA menemukan bahwa keamanan rantai pasokan perangkat lunak telah menjadi komponen penting dari organisasi DevOps berperforma tinggi, jadi tahun ini, para peneliti berfokus untuk menentukan apa yang menyebabkan hasil yang sukses di bidang tersebut.
Dalam survei tersebut, Google berfokus pada penerapan praktik keamanan yang merupakan bagian dari rantai pasokan.
Selain kepatuhan tim DevOps terhadap kerangka kerja SLSA, survei tersebut menanyakan kepada pengembang sejauh mana mereka mematuhi lusinan praktik keamanan yang membentuk Kerangka Pengembangan Perangkat Lunak Aman (SSDF) yang dibuat oleh Institut Standar dan Teknologi Nasional AS (NIST) .
Organisasi yang memiliki tim yang sangat kooperatif yang berbagi risiko dan tanggung jawab, dan memprioritaskan pembelajaran daripada menyalahkan โ apa yang disebut budaya "generatif" โ lebih mungkin untuk mengadopsi lebih dari dua lusin praktik keamanan tersebut, menurut survei praktisi DevOps.
โBanyak dari praktik ini โ saya tidak akan mengatakan bahwa praktik tersebut 100% diterapkan di seluruh organisasi โ tetapi banyak praktik ini memiliki 50% atau lebih praktisi yang melaporkan bahwa praktik tersebut sudah mapan atau sangat mapan,โ kata John Speed Meyers, rekan penulis laporan dan ilmuwan data keamanan di perusahaan keamanan rantai pasokan perangkat lunak Chainguard. โAda banyak ruang untuk perbaikan, tetapi hal-hal ini tidak terlalu sulit sehingga tidak ada yang melakukannya.โ
Survei tersebut juga mengukur kelelahan pengembang, berdasarkan seberapa tinggi mereka menilai persetujuan mereka dengan pernyataan seperti "perasaan saya tentang pekerjaan berdampak negatif pada kehidupan saya di luar pekerjaan" dan "Saya acuh tak acuh atau sinis tentang pekerjaan saya." Tim yang tidak fokus pada keamanan 40% lebih mungkin untuk setuju atau sangat setuju dengan pernyataan ini.
Selain itu, tim yang memiliki tingkat kegagalan perubahan terburuk dan membutuhkan waktu paling lama untuk diterapkan โ mulai dari sebulan sekali hingga enam bulan sekali โ juga memiliki tingkat kelelahan yang tinggi.
