Google Cloud DORA: サプライ チェーンの保護は文化から始まる from darkreading.com
security summary
たとえば、レポートの中心にある DORA 調査では、ソフトウェア成果物のサプライチェーン レベル (SLSA) セキュリティ フレームワークによって測定される 13 の異なる側面に対する DevOps チームの順守を測定しました。
多くのソフトウェア開発者は、プログラマーとアプリケーション セキュリティ チームの間に隔たりがあると感じています。
この調査で、Google はサプライ チェーンの一部であるセキュリティ プラクティスの採用に焦点を当てました。
この調査では、DevOps チームが SLSA フレームワークを順守していることに加えて、米国国立標準技術研究所 (NIST) によって作成されたセキュア ソフトウェア開発フレームワーク (SSDF) を形成する数十のセキュリティ プラクティスにどの程度準拠しているかを開発者に尋ねました。
リスクと責任を共有し、非難よりも学習を優先する非常に協力的なチームを持つ組織、いわゆる「生成的」文化は、これらのセキュリティ プラクティスを 20 以上採用する可能性が高いことが、DevOps 実践者の調査で明らかになりました。
セキュリティに重点を置いていないチームこれらの声明に同意する、または強く同意する可能性が 40% 高くなりました。
コメント