Logotipo de Zephyrnet

Inteligencia de datos generativa

Ciberseguridad

Google Cloud DORA: asegurar la cadena de suministro comienza con la cultura

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 114

Las empresas que se enfocan en confiar en sus desarrolladores, mirar más allá de la culpa y luchar por una cooperación sólida tienden a ver una mayor adopción de medidas que contribuyen a cadenas de suministro de software más seguras.

Según el Accelerate State of DevOps anual de 2022 publicado el 28 de septiembre por el equipo de investigación y evaluación de DevOps (DORA) de Google Cloud, también se encontró que los equipos de DevOps que se centraron en buenas prácticas de seguridad tenían una tasa más baja de agotamiento, y los equipos de baja seguridad tenían 1.4 veces mayores probabilidades de expresar altos niveles de estrés.

Si bien la infraestructura técnica ayudó, la encuesta muestra que comenzar o desarrollar la cultura adecuada es extremadamente importante.

Por ejemplo, la encuesta DORA en el corazón del informe midió la adherencia de los equipos de DevOps a 13 aspectos diferentes medidos por el marco de seguridad de Niveles de la cadena de suministro para artefactos de software (SLSA), que requiere la creación de lanzamientos de productos utilizando integración continua centralizada/desarrollo continuo. (CI/CD), almacenando historiales de cambios indefinidamente, definiendo compilaciones de software a través de scripts y aislando el proceso de compilación. Y a pesar de que la mayoría de las empresas habían implementado completa o moderadamente las 13 prácticas, las que tenían culturas más colaborativas y menos orientadas a la culpa obtuvieron mejores resultados, encontró la encuesta DORA.

“Culturas más abiertas y generativas... tienden a tener efectos positivos para el desempeño organizacional, así como para las personas que trabajan allí”, dice Todd Kulesza, uno de los autores del informe e investigador principal de experiencia de usuario (UX) en Google Cloud. . “Lo que queremos ver es, si hay un problema de seguridad, queremos que los ingenieros se sientan empoderados y seguros para llamar la atención sobre eso. No quiere que sus desarrolladores escondan las cosas debajo de la alfombra, especialmente en términos de seguridad”.

Desafortunadamente, la encuesta encontró que hay trabajo por hacer en el frente colaborativo: muchos desarrolladores de software sienten que hay un abismo entre los programadores y los equipos de seguridad de aplicaciones.

“Los enfoques de seguridad de alta fricción pueden ser frustrantes para los desarrolladores e ineficaces en general, ya que las personas intentan evitar los puntos de fricción”, afirma el informe. “Los desarrolladores con los que hablamos querían hacer lo correcto y, a menudo, discutían la frustración de que las funciones de envío o las correcciones tuvieran prioridad sobre los posibles problemas de seguridad”.

Seguridad de la cadena de suministro: Barómetro crítico para el rendimiento de DevOps

En su octavo año, el Informe anual del equipo de investigación y evaluación de DevOps (DORA) se ha esforzado por identificar las mejores prácticas entre los equipos que utilizan el enfoque DevOps para el desarrollo de software. En 2021, el grupo DORA descubrió que la seguridad de la cadena de suministro de software se había convertido en un componente crítico de las organizaciones DevOps de alto rendimiento, por lo que este año, los investigadores se centraron en determinar qué condujo a resultados exitosos en ese frente.

La mayoría de los equipos de DevOps han adoptado prácticas SLSA. Fuente: Informe DORA 2022 de Google Cloud.

En la encuesta, Google se centró en la adopción de prácticas de seguridad que forman parte de las cadenas de suministro.

Además de la adhesión de los equipos de DevOps al marco SLSA, la encuesta preguntó a los desarrolladores el grado en que cumplen con docenas de prácticas de seguridad que forman el Marco de desarrollo de software seguro (SSDF) creado por el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) .

Organizaciones que tenían equipos altamente cooperativos que compartían riesgos y responsabilidades, y priorizaban el aprendizaje sobre la culpa: las llamadas culturas “generativas” – eran más propensos a adoptar más de dos docenas de esas prácticas de seguridad, encontró la encuesta de practicantes de DevOps.

“Muchas de estas prácticas, no voy a decir que están 100 % establecidas en todas las organizaciones, pero muchas de estas prácticas tienen un 50 % o más de profesionales que informan que están establecidas o muy bien establecidas”, dice John Speed. Meyers, coautor del informe y científico de datos de seguridad en la empresa de seguridad de la cadena de suministro de software Chainguard. “Hay mucho espacio para mejorar, pero estas cosas no son tan difíciles como para que nadie las esté haciendo”.

La encuesta también midió el agotamiento de los desarrolladores, en función de qué tan alto calificaron su acuerdo con afirmaciones como "mis sentimientos sobre el trabajo afectan negativamente mi vida fuera del trabajo" y "Soy indiferente o cínico sobre mi trabajo". Los equipos que no se centraron en la seguridad tenían un 40 % más de probabilidades de estar de acuerdo o muy de acuerdo con estas declaraciones.

Además, los equipos que tuvieron las peores tasas de fallas en los cambios y tardaron más en implementarse, desde una vez al mes hasta una vez cada seis meses, también tuvieron altas tasas de agotamiento.

punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.

Habla con nosotros!

¡Hola! ¿Le puedo ayudar en algo?