Julian Totzek-Hallhuber

ist Solution Architect bei Veracode

CIOProjekte

Von DevOps zu DevSecOps

Je früher bei der Entwicklung einer Software ein Sicherheitsfehler aufgespürt wird, desto günstiger ist das für Unternehmen. Julian Totzek-Hallhuber, Solution Architekt, Veracode plädiert daher, bei DevOps ein besonderes Augenmerk auf Sicherheit zu haben.

Jedes vierte der 2.000 weltweit größten Unternehmen richtet seine Software-Entwicklung nach dem DevOps-Ansatz aus. Mittlerweile geht es jedoch nicht mehr allein um Qualität, sondern auch um IT-Sicherheit – Stichwort: DevSecOps.

Die Zeiten, in denen das DevOps-Prinzip belächelt wurde, sind lange vorbei. Schon im vergangenen Jahr hat das Thema die Berichterstattung rund um Anwendungsentwicklungen dominiert und immer mehr Unternehmen legen ihre IT-Abteilung mit der Software-Entwicklung zusammen. Kürzere Entwicklungszeiten, mehr Releases und höherwertige Anwendungen sind die Vorteile davon. Mit der Zusammenlegung und Umstellung kommen jedoch auch Herausforderungen und Risiken in der IT-Sicherheit.

(Bild: Shutterstock.com/anathomy)
(Bild: Shutterstock.com/anathomy)

Verantwortung auf beiden Seiten

Wenn aus “Devs” und “Ops” der Bereich DevOps wird, rücken Entwickler und IT-Verantwortliche näher zusammen. Neben einem regelmäßigeren Austausch und gegenseitiger Weiterbildung bedeutet dies in der Praxis auch gemeinsame Pflichten, Ziele und Werte. Sich bei Problemen und Fehlern gegenseitig die Schuld zuzuschieben ist dann nicht mehr möglich. Beide Seiten müssen verstehen, dass sie nur als Team die Sicherheit ihrer Anwendungen gewährleisten können. Sie müssen sich somit gleichermaßen für das Thema Security verantwortlich fühlen.

Hohes Entwicklungstempo

Der kurze und zyklische Charakter von DevOps führt zu einem rasanten Innovationstempo in der Software-Entwicklung. Um das Geschäftswachstum voranzutreiben, müssen Entwickler diese Geschwindigkeit stetig beibehalten. Finden sie erst spät Fehler oder Schwachstellen im Software-Lebenszyklus, stört das den gesamten Prozess und verlangsamt die Produktions- und Release-Zyklen.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Die Folge sind höhere Entwicklungskosten. Laut NIST (National Institute of Standards and Technology) lässt sich bei einer Entdeckung und Behebung von Schwachstellung noch während der Programmierungsphase das Zehnfache an Kosten einsparen, im Vergleich zur Beseitigung von Schwachstellen während der Testphase.

Automatisierung von Arbeitsabläufen

Mithilfe von geeigneten Tools ist es beim DevOps-Ansatz möglich, Arbeitsabläufe zu automatisieren, die die Entwickler und IT-Verantwortliche zuvor manuell verrichten mussten. Auf diese Weise wird die Wahrscheinlichkeit von Fehlern zusätzlich minimiert. Indem die Automatisierung, die Fehlersuche und Qualitätskontrolle systematisiert, erfüllt sie die Forderungen des IT-Betriebs nach möglichst sicheren und stabilen Releases. Zugleich zielt die Automatisierung darauf ab, für Effizienzsprünge zu sorgen. Dies betrifft vor allem das Deployment von Software, denn agile Methoden sind oftmals nicht mit der gleichbleibenden Geschwindigkeit im Betrieb vereinbar.

PartnerZone

Effektive Meeting-und Kollaboration-Lösungen

Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.

Im DevSecOps-Prinzip wird der Security-Aspekt von Anfang an in die Software-Entwicklung und den Software-Lebenszyklus miteinbezogen. Ziel ist es, Qualität und Sicherheit gleichzusetzen. Es gibt zahlreiche Lösungen, die Entwickler bei diesem Ansatz unterstützen, ohne sie in der Entwicklung einzuschränken. Solche Lösungen lassen sich nahtlos in gängige Entwicklungsumgebungen integrieren und ermöglichen es, innerhalb von Sekunden einzelne Programmdateien auf Risiken und Sicherheitslücken zu scannen. Der Sicherheits-Aspekt wird somit zu einem integralen Bestandteil des Software-Entwicklungsprozesses.

Störungen und Verzögerungen im Ablauf, die mit der Anwendung sicherer Codierungspraktiken verbunden sind, lassen sich dadurch deutlich reduzieren. Außerdem verbessert der DevSecOps-Ansatz das Arbeitsklima und sorgt wie DevOps für kürzere Entwicklungszeiten, häufigere Releases und höherwertige Software – nur mit dem Unterschied, von Grund auf sicher programmiert zu sein.