Le aziende che si concentrano sul fidarsi dei propri sviluppatori, guardare oltre la colpa e lottare per una forte cooperazione tendono a vedere una maggiore adozione di misure che contribuiscono a catene di fornitura del software più sicure.
Secondo l'annuale 2022 Accelerate State of DevOps pubblicato il 28 settembre dal team DevOps Research and Assessment (DORA) di Google Cloud ha anche scoperto che i team DevOps che si sono concentrati su buone pratiche di sicurezza avevano un tasso di burnout inferiore, con i team a bassa sicurezza con 1.4 probabilità volte maggiori di esprimere alti livelli di stress.
Sebbene l'infrastruttura tecnica abbia aiutato, il sondaggio mostra che iniziare o sviluppare la giusta cultura è estremamente importante.
Ad esempio, il sondaggio DORA al centro del rapporto ha misurato l'aderenza dei team DevOps a 13 diversi aspetti misurati dal framework di sicurezza dei livelli della catena di approvvigionamento per gli artefatti software (SLSA), che richiede la creazione di versioni di prodotti utilizzando l'integrazione continua centralizzata/sviluppo continuo (CI/CD), archiviando le cronologie delle modifiche a tempo indeterminato, definendo build software tramite script e isolando il processo di build. E anche se la maggior parte delle aziende aveva implementato completamente o moderatamente tutte e 13 le pratiche, quelle che avevano culture più collaborative e meno orientate alla colpa hanno fatto meglio, secondo il sondaggio DORA.
"Culture più aperte e generative... tendono ad avere effetti positivi per le prestazioni organizzative e per le persone che vi lavorano", afferma Todd Kulesza, uno degli autori del rapporto e ricercatore senior sull'esperienza utente (UX) presso Google Cloud . “Quello che vogliamo vedere è, se c'è un problema di sicurezza, vogliamo che gli ingegneri si sentano autorizzati e al sicuro per portare l'attenzione su questo. Non vuoi che i tuoi sviluppatori nascondano le cose sotto il tappeto, soprattutto in termini di sicurezza".
Il sondaggio purtroppo ha rilevato che c'è del lavoro da fare sul fronte collaborativo: molti sviluppatori di software ritengono che ci sia un abisso tra i programmatori e i team di sicurezza delle applicazioni.
"Gli approcci alla sicurezza ad alto attrito possono essere frustranti per gli sviluppatori e nel complesso inefficaci, poiché le persone cercano di evitare i punti di attrito", afferma il rapporto. "Gli sviluppatori con cui abbiamo parlato volevano fare la cosa giusta e spesso discutevano della frustrazione per il fatto che le funzionalità di spedizione o le correzioni avessero costantemente la priorità su potenziali problemi di sicurezza".
Sicurezza della catena di approvvigionamento: barometro critico per le prestazioni DevOps
Nel suo ottavo anno, il Rapporto annuale del team DevOps Research and Assessment (DORA). ha cercato di identificare le migliori pratiche tra i team che utilizzano l'approccio DevOps allo sviluppo del software. Nel 2021, il gruppo DORA ha scoperto che la sicurezza della catena di fornitura del software era diventata una componente fondamentale delle organizzazioni DevOps ad alte prestazioni, quindi quest'anno i ricercatori si sono concentrati sulla determinazione di ciò che ha portato a risultati positivi su questo fronte.
Nel sondaggio, Google si è concentrato sull'adozione di pratiche di sicurezza che fanno parte delle catene di approvvigionamento.
Oltre all'adesione dei team DevOps al framework SLSA, il sondaggio ha chiesto agli sviluppatori il grado in cui rispettano dozzine di pratiche di sicurezza che formano il Secure Software Development Framework (SSDF) creato dal National Institute of Standards and Technology (NIST) degli Stati Uniti .
Organizzazioni che disponevano di team altamente cooperativi che condividevano rischi e responsabilità e privilegiavano l'apprendimento rispetto alla colpa — culture cosiddette “generative”. — avevano maggiori probabilità di adottare più di due dozzine di queste pratiche di sicurezza, ha rilevato il sondaggio tra i professionisti di DevOps.
"Molte di queste pratiche - non ho intenzione di dire che sono consolidate al 100% in tutte le organizzazioni - ma molte di queste pratiche hanno il 50% o più di praticanti che riferiscono che sono consolidate o molto ben consolidate", afferma John Speed Meyers, coautore del rapporto e scienziato dei dati di sicurezza presso l'azienda di sicurezza della catena di fornitura del software Chainguard. "C'è molto margine di miglioramento, ma queste cose non sono così difficili che nessuno lo fa".
Il sondaggio ha anche misurato il burnout degli sviluppatori, in base a quanto hanno valutato il loro accordo con affermazioni come "i miei sentimenti riguardo al lavoro influenzano negativamente la mia vita al di fuori del lavoro" e "Sono indifferente o cinico riguardo al mio lavoro". I team che non si sono concentrati sulla sicurezza avevano il 40% in più di probabilità di essere d'accordo o fortemente d'accordo con queste affermazioni.
Inoltre, i team che avevano i peggiori tassi di errore delle modifiche e impiegavano più tempo per l'implementazione, da una volta al mese a una volta ogni sei mesi, avevano anche alti tassi di burnout.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
