DevSecOps – Wie sich Sicherheit in DevOps integrieren lässt DevSecOps – Wie sich Sicherheit in DevOps integrieren lässt - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


21.02.2017 Nabil Bousselham*

DevSecOps – Wie sich Sicherheit in DevOps integrieren lässt

Schon im letzten Jahr hat ein Thema ganz klar die Berichterstattung rund um Anwendungsentwicklungen dominiert: DevOps. Die Zeiten jedoch, als der DevOps-Ansatz noch belächelt wurde, sind lange vorbei. Jedes vierte der 2.000 weltweit größten Unternehmen richtet mittlerweile seine Software-Entwicklung nach den Prinzipien von DevOps aus – Tendenz steigend.

Jedes vierte der 2.000 weltweit größten Unternehmen richtet mittlerweile seine Software-Entwicklung nach den Prinzipien von DevOps aus – Tendenz steigend.

Jedes vierte der 2.000 weltweit größten Unternehmen richtet mittlerweile seine Software-Entwicklung nach den Prinzipien von DevOps aus – Tendenz steigend.

© Fotolia

Vorteile dieses Ansatzes sind kürzere Entwicklungszeiten, mehr Releases und höherwertige Software. Für die IT-Sicherheit ist diese Umstellung mit Herausforderungen verbunden, stellt aber ebenso eine große Chance dar – DevSecOps ist hier das Stichwort. Ziel ist es, Qualität mit Sicherheit gleichzusetzen und von Anbeginn der Entwicklung den Sicherheitsaspekt mit einzubeziehen.

Gemeinsame Verantwortung
Entwickler und IT-Verantwortliche rücken näher zusammen – aus "Devs" und "Ops" werden DevOps. In der Praxis bedeutet das einen regelmäßigeren Austausch, gegenseitige Weiterbildung und vor allem die Verpflichtung beider Seiten auf gemeinsame Ziele und Werte. Das bisherige "Blame-Game" muss aufhören. Beide Seiten müssen verstehen, dass Sicherheit nur möglich ist, wenn Entwickler und IT-Verantwortliche als Team auftreten und sich gleichermaßen für das Thema Sicherheit verantwortlich fühlen.

Automatisierung
Eine weitere Säule von DevOps ist die Automatisierung von Arbeitsabläufen. Geeignete Tools sollen Vorgänge, die zuvor manuell verrichtet wurden, in Zukunft eigenständig erledigen – die Wahrscheinlichkeit von Fehlern wird so zusätzlich minimiert. Dies betrifft vor allem das Deployment von Software: agile Methoden in der Entwicklung sind oftmals nicht mit der gleichbleibenden Geschwindigkeit im Betrieb vereinbar. Die Automatisierung zielt darauf ab, auch in diesem Bereich für einen Effizienzsprung zu sorgen. Zusätzlich erfüllt sie die Forderungen des IT-Betriebs nach möglichst sicheren und stabilen Releases, indem sie die Fehlersuche und Qualitätskontrolle systematisiert.

Sicherheit von Anfang an
Der kurze und zyklische Charakter von DevOps fordert von Entwicklern, dass sie ein rasantes Innovationstempo beibehalten, um das Geschäftswachstum voranzutreiben. Das späte Finden von Schwachstellen im Software-Lebenszyklus stört den gesamten Prozess, verlangsamt die Produktions- und Release-Zyklen und erhöht die Entwicklungskosten. Entdeckt und behebt man Schwachstellen noch während der Programmierungsphase, lässt sich laut NIST (National Institute of Standards and Technology) das zehnfache an Kosten einsparen im Vergleich zur Beseitigung von Schwachstellen während der Testphase.

Deshalb ist es wichtig, Sicherheit von Anfang an in den Software-Lebenszyklus einzubauen. Es gibt zahlreiche Lösungen, die Entwickler dabei unterstützen, ohne sie in der Entwicklung einzuschränken. Veracode Greenlight beispielsweise integriert sich nahtlos in gängige Entwicklungsumgebungen und ermöglicht dem Entwickler innerhalb von Sekunden einzelne Programmdateien auf Sicherheitslücken zu scannen. Somit wird die Sicherheit zu einem integralen Teil des Softwareentwicklungsprozesses. Ablaufstörungen und -verzögerungen, die mit der Anwendung sicherer Codierungspraktiken verbunden sind, werden dadurch deutlich reduziert.

Der Schritt von DevOps hin zu DevSecOps ist nicht weit. Kein Wunder also, dass langsam immer mehr Unternehmen auf DevSecOps setzen. So verbessern sie das Arbeitsklima und profitieren von kürzeren Entwicklungszeiten, häufigeren Releases sowie höherwertiger Software, die von Grund auf sicher programmiert wurde.

*Nabil Bousselham ist Solution Architect bei Veracode.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • selectyco Media Solutions GmbH

    selectyco Media Solutions GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen mehr
  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • adesso Austria GmbH

    adesso Austria GmbH Öffentliche Verwaltung, Grundstoffindustrie, Großhandel, Finanzdienstleistungen, Fertigung, Produktion und Konstruktion, Druck- und Verlagswesen, Qualitätssicherung,... mehr
  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr

Hosted by:    Security Monitoring by: