DevSecOps – Wie sich Sicherheit in DevOps integrieren lässt

Schon im letzten Jahr hat ein Thema ganz klar die Berichterstattung rund um Anwendungsentwicklungen dominiert: DevOps. Die Zeiten jedoch, als der DevOps-Ansatz noch belächelt wurde, sind lange vorbei. Jedes vierte der 2.000 weltweit größten Unternehmen richtet mittlerweile seine Software-Entwicklung nach den Prinzipien von DevOps aus – Tendenz steigend. [...]

Vorteile dieses Ansatzes sind kürzere Entwicklungszeiten, mehr Releases und höherwertige Software. Für die IT-Sicherheit ist diese Umstellung mit Herausforderungen verbunden, stellt aber ebenso eine große Chance dar – DevSecOps ist hier das Stichwort. Ziel ist es, Qualität mit Sicherheit gleichzusetzen und von Anbeginn der Entwicklung den Sicherheitsaspekt mit einzubeziehen.
Gemeinsame Verantwortung
Entwickler und IT-Verantwortliche rücken näher zusammen – aus „Devs“ und „Ops“ werden DevOps. In der Praxis bedeutet das einen regelmäßigeren Austausch, gegenseitige Weiterbildung und vor allem die Verpflichtung beider Seiten auf gemeinsame Ziele und Werte. Das bisherige „Blame-Game“ muss aufhören. Beide Seiten müssen verstehen, dass Sicherheit nur möglich ist, wenn Entwickler und IT-Verantwortliche als Team auftreten und sich gleichermaßen für das Thema Sicherheit verantwortlich fühlen.
Automatisierung
Eine weitere Säule von DevOps ist die Automatisierung von Arbeitsabläufen. Geeignete Tools sollen Vorgänge, die zuvor manuell verrichtet wurden, in Zukunft eigenständig erledigen – die Wahrscheinlichkeit von Fehlern wird so zusätzlich minimiert. Dies betrifft vor allem das Deployment von Software: agile Methoden in der Entwicklung sind oftmals nicht mit der gleichbleibenden Geschwindigkeit im Betrieb vereinbar. Die Automatisierung zielt darauf ab, auch in diesem Bereich für einen Effizienzsprung zu sorgen. Zusätzlich erfüllt sie die Forderungen des IT-Betriebs nach möglichst sicheren und stabilen Releases, indem sie die Fehlersuche und Qualitätskontrolle systematisiert.
Sicherheit von Anfang an
Der kurze und zyklische Charakter von DevOps fordert von Entwicklern, dass sie ein rasantes Innovationstempo beibehalten, um das Geschäftswachstum voranzutreiben. Das späte Finden von Schwachstellen im Software-Lebenszyklus stört den gesamten Prozess, verlangsamt die Produktions- und Release-Zyklen und erhöht die Entwicklungskosten. Entdeckt und behebt man Schwachstellen noch während der Programmierungsphase, lässt sich laut NIST (National Institute of Standards and Technology) das zehnfache an Kosten einsparen im Vergleich zur Beseitigung von Schwachstellen während der Testphase.
Deshalb ist es wichtig, Sicherheit von Anfang an in den Software-Lebenszyklus einzubauen. Es gibt zahlreiche Lösungen, die Entwickler dabei unterstützen, ohne sie in der Entwicklung einzuschränken. Veracode Greenlight beispielsweise integriert sich nahtlos in gängige Entwicklungsumgebungen und ermöglicht dem Entwickler innerhalb von Sekunden einzelne Programmdateien auf Sicherheitslücken zu scannen. Somit wird die Sicherheit zu einem integralen Teil des Softwareentwicklungsprozesses. Ablaufstörungen und -verzögerungen, die mit der Anwendung sicherer Codierungspraktiken verbunden sind, werden dadurch deutlich reduziert.
Der Schritt von DevOps hin zu DevSecOps ist nicht weit. Kein Wunder also, dass langsam immer mehr Unternehmen auf DevSecOps setzen. So verbessern sie das Arbeitsklima und profitieren von kürzeren Entwicklungszeiten, häufigeren Releases sowie höherwertiger Software, die von Grund auf sicher programmiert wurde.
*Nabil Bousselham ist Solution Architect bei Veracode.

Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*