Was ist DevSecOps?

DevSecOps bringt Security und DevOps zusammen. Das sollten Sie zum Thema wissen. [...]

Sicher und agil entwickeln? DevSecOps heißt das Zauberwort. Lesen Sie, was dahinter steckt (c) pixabay.com

Bei DevSecOps geht es darum, IT-Sicherheitsaspekte so früh wie möglich in den Lebenszyklus der Applikationsentwicklung zu integrieren. So lassen sich potenzielle Schwachstellen beseitigen, während Entwicklung und Betrieb eine Einheit bilden und eine hohe Entwicklungsgeschwindigkeit entlang des Anwenderbedarfs ermöglichen.

DevSecOps – Definition

DevSecOps bezeichnet keine , sondern einen kulturellen Wandel in der Softwareentwicklung. Ziel des DevSecOps-Ansatzes ist es, die IT-Sicherheit in den heutzutage typischerweise rasanten Entwicklungszyklen (Stichwort DevOps) zu verankern.

Um diesen Shift-Left-Ansatz in der Praxis umzusetzen, müssen Unternehmen die im Regelfall ausgeprägte Lücke zwischen Entwicklungs- und Security-Teams schließen. Im Idealfall geschieht das so, dass möglichst viele Sicherheitsprozesse automatisiert ablaufen beziehungsweise vom Entwicklungsteam selbst erledigt werden.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

DevSecOps – die sichere Softwareentwicklung

In der traditionellen Softwareentwicklung wurden neue Versionen alle paar Monate – manchmal auch Jahre – veröffentlicht. Das verschaffte den Unternehmen ausreichend Zeit, um ihren Code einer Qualitätskontrolle und einer Security-Testing-Prozedur zu unterziehen. Dabei wurden diese Prozesse von unterschiedlichen, spezialisierten Teams übernommen. In den letzten zehn Jahren hat sich das fundamental verändert: Die Public CloudContainertechnologie und der Microservices-Ansatz haben dafür gesorgt, dass der monolithische Prozess der Softwareentwicklung in viele kleine, voneinander unabhängig ablaufende Prozesse aufgesplittet wurde.

Das hat die Art und Weise, wie entwickelt wird, verändert: Dank agiler Entwicklungsmethoden und „rollender“ Releasezyklen werden Features beziehungsweise neuer Code fortlaufend und in kurzen Abständen hinzugefügt. Die dabei ablaufenden Prozesse wurden vielfach mit Hilfe neuer Technologien und Tools automatisiert, was die Innovationsgeschwindigkeit – und damit die Wettbewerbsfähigkeit – von Unternehmen entscheidend stärkte.

Cloud, Container und Microservices haben jedoch eine weitere Entwicklung befeuert: den DevOps-Ansatz. Entwickler provisionieren und skalieren hierbei die Infrastruktur selbst – ein eigenes Team, dass diese Aufgabe übernimmt, gibt es nicht mehr. Inzwischen bieten alle großen Cloud Provider APIs und Konfigurationswerkzeuge, die die Bereitstellung von Infrastruktur als Code über „Deployment Teamplates“ ermöglichen.

DevOps hat die Softwareentwicklung ohne Zweifel innovativer, agiler und schneller gemacht, allerdings wurde beim Fokus auf Geschwindigkeit allzu oft die IT vernachlässigt. Mit dem DevSecOps-Konzept soll dieser Umstand korrigiert und Security Testing vollständig in die CI/CD Pipelines integriert werden. Darüber hinaus geht es bei DevSecOps auch darum, die Entwickler zu befähigen, Tests und eventuelle Nacharbeiten selbst erledigen zu können.

DevSecOps – Erfolgsfaktoren

„Insbesondere die Umsetzung des letztgenannten Punkts wird einige Zeit in Anspruch nehmen. Doch erst wenn ein separates Sicherheitsteam überflüssig ist, kann man wirklich von DevSecOps sprechen“, ist Chris Wysopal, CTO beim Veracode, überzeugt.

Um das Security Skillset von Entwicklern zu erweitern, benennen einige Unternehmen einen „Security Champion“ innerhalb des Dev-Teams. Dieser hat zuvor bereits eine erweiterte Security-Schulung erhalten und übernimmt im Team die Verantwortung für das Security Fixing, während der Rest des Teams nach und nach Weiterbildungen in Sachen sichere Programmierarbeit erhält.

Die Verschmelzung von Entwicklung und Security muss allerdings auch auf dem Management-Level erfolgen, wie Brian Fox, CTO beim DevOps-Plattformanbieter Sonatype, weiß: „Geschieht das nicht, kann es zu Machtkämpfen und divergierenden Zielen kommen, obwohl die Beteiligten im selben Team verortet sind. Das ist ein bisschen wie auf dem Kinderspielplatz: Zwei Kinder sitzen nebeneinander, streiten nicht – und trotzdem heißt das nicht, dass sie gemeinsam spielen. Genau das passiert in vielen Unternehmen.“

DevSecOps – Tools

Frühe DevSecOps-Tools waren nicht immer entwicklerfreundlich: Statt automatisierbaren Kommandozeilen-Tools, deren Output sich schnell und einfach in Bug Tracker übertragen lässt, sind traditionelle Security-Werkzeuge eher für Security Teams und CISOs konzipiert und rücken Governance, Sicherheitsrichtlinien und Risk Management in den Fokus.

Das hat sich inzwischen geändert – neue Tools, die (teilweise) von Entwicklern für Entwickler geschaffen wurden, bereichern inzwischen vielerorts die Entwicklungsumgebungen und CI/CD-Workflows. Die Werkzeuge lassen sich dabei in verschiedene Kategorien einordnen. Zu den populärsten DevSecOps-Tools gehören beispielweise:

Anomalieerkennung:

Automatisierung:

Dashboards:

Threat Modeling:

Testing:

Im Laufe der letzten Jahre sind einige traditionelle Security-Anbieter dazu übergegangen, ihre Produkte sowohl auf die Entwickler- als auch auf die CISO-Welt auszurichten und verbinden Reporting- und Analytics-Funktionalitäten mit simpler Benutzerführung. Auch die Anbieter von Cloud Services haben damit begonnen, ihre Dienste mit Security-Testing-Funktionalitäten anzureichern.

Dieser Beitrag basiert in Teilen auf einem Artikel unserer US-Schwesterpublikation CSO Online.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*