米Googleは、企業や団体におけるDevOpsの浸透状況を調査した年次レポート「2022 Accelerate State of DevOps Report」の集計結果を9月29日(現地時間)に発表した。
昨年までの同レポートはCI/CDなど、DevOpsの中でもソフトウェア開発のスタイルに焦点を当てていたが、今年のレポートではDevOpsの現場におけるセキュリティ対策に重点を置いている。
まずは、ソフトウェアサプライチェーン攻撃への対策について、Googleが提唱している「Supply-chain Levels for Secure Artifacts(SLSA)」フレームワークや、NIST(National Institute of Standards and Technology:米国立標準技術研究所)による「Secure Software Development Framework(SSDF)」を参考にして設問を作成した。
その結果、SLSAやSSDFが推奨している項目を受け入れているという回答がGoogleの予想よりも多くなっていたという。中でも、CI/CDの過程でアプリケーションレベルのセキュリティ検査を実施しているという回答が多かったとしている。また、コードの変更履歴を残すことや、ビルドスクリプトを利用するといった慣行も浸透していた。一方で、メタデータへの署名や2名によるレビューは、さらなる浸透の余地があるとしている。
そして、Googleが今回の調査で最も驚かされた点の一つとして挙げたのが、セキュリティに対する取り組みが技術的なものではなく、文化的なものになっているという点だった。社会学者のRon Westrum博士の研究で判明していることだが、組織のメンバー間の信頼度が高く、他者を責めようとしない文化を持つ組織が、セキュリティに関する課題によく対応できるということだ。さらに、そのような文化をもつ組織は、開発者が燃え尽きてしまうことを防ぎ、自分たちのチームが取り組んでいることをほかのチームに進める傾向があるとしている。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
