Umfrage unter 5.558 IT-Experten

Was zeichnet hochleistungsfähige DevSecOps-Verfahren aus?

Die DevSecOps Community-Umfrage 2019 zeigt, dass ausgereifte Programme eine 700 % höhere Wahrscheinlichkeit für automatisierte Sicherheit aufweisen – da die Widersacher immer schneller agieren.

Sonatype, Erfinder Software Supply Chain-Automatisierung, veröffentlicht heute die Ergebnisse seiner sechsten jährlichen DevSecOps Community-Umfrage unter 5.558 IT-Experten. Damit ist dies die größte jemals durchgeführte DevOps-Studie. Die in Zusammenarbeit mit CloudBees, Carnegie Mellon’s Software Engineering Institute, Signal Sciences, 9th Bit und Twistlock entwickelte Umfrage offenbart ein neues Gesamtbild dessen, wie Unternehmen mit hochleistungsfähigen DevSecOps-Programmen angesichts der zunehmenden Attacken böswilliger Angreifer dastehen.

Anzeige

Im Zuge der rasanten Weiterentwicklung von DevOps-Verfahren automatisieren Spitzenunternehmen die Sicherheit früher im Entwicklungszyklus und handhaben Software Supply Chains als wesentliches Unterscheidungsmerkmal gegenüber ihren Mitbewerbern. Die Umfrageergebnisse haben gezeigt, dass Organisationen mit hochleistungsfähigen DevSecOps-Programmen anderen Unternehmen in vielen Bereichen bei weitem überlegen sind.

Dazu gehören die folgenden Einflussfaktoren:

  • DevOps Automatisierung – Bei erstklassigen DevSecOps-Praktiken ist die Wahrscheinlichkeit, dass sie vollständig integrierte und automatisierte Sicherheitsverfahren innerhalb der gesamten DevOps-Pipeline einsetzen, um 700 % höher. Sie weisen darüber hinaus vermehrte Feedback-Schleifen auf, die es ermöglichen, Sicherheitsprobleme direkt aus den Tools heraus zu identifizieren.
     
  • Open-Source-Kontrollen – 62 % der Befragten mit hervorragenden DevSecOps-Programmen verfügen über eine Open-Source-Governance-Richtlinie, die mithilfe der Automatisierung eingehalten wird, im Vergleich zu lediglich 25 % der Befragten ohne DevOps-Praktiken.
     
  • Container-Kontrollen – 51 % der Befragten mit hochleistungsfähigen Verfahren gaben an, dass sie automatisierte Sicherheitsprodukte einsetzen, um Schwachstellen in Containern zu erkennen, im Gegensatz zu nur 16 % der Befragten ohne DevSecOps.
     
  • Schulungen – Unternehmen mit hervorragenden DevSecOps-Praktiken bieten Entwicklern dreimal häufiger Schulungen zur Anwendungssicherheit an, als Unternehmen, die keine DevOps-Verfahren einsetzen.
     
  • Einsatzbereitschaft – 81 % derjenigen, die erstklassige Verfahren einsetzen, verfügen über einen Reaktionsplan zur Cybersicherheit, im Vergleich zu 62 % derjenigen, die keine DevOps-Verfahren nutzen.

“47 % der von uns befragten Unternehmen gehen mehrmals pro Woche in Produktion, während die Geschwindigkeit ihrer Sicherheitsverfahren ebenfalls zunimmt”, sagt Derek Weeks, Vice President und DevOps Advocate von Sonatype. “Die DevSecOps-Community hat uns gezeigt, dass Spitzenunternehmen deutlich weniger manuelle Arbeit verrichten, Sicherheit nahtlos in die Welt ihrer Entwickler integrieren und besser auf die Beseitigung von Sicherheitslücken – wenn sie auftreten – vorbereitet sind, als diejenigen die keine DevOps-Verfahren im Einsatz haben.”

Weitere wichtige Erkenntnisse aus der größten DevOps-Umfrage:

  • 24 % aller Befragten vermuteten oder bestätigten eine Sicherheitslücke in Bezug auf Open Source-Komponenten. Dies bedeutet eine Steigerung um 71 %, seit “Heartbleed” vor 5 Jahren Schlagzeilen machte.
     
  • 50 % derjenigen mit erstklassigen DevOps-Programmen erstellen eine vollständige Software-Stückliste, die regelmäßig aktualisiert wird, während dieser Anteil bei denjenigen, die keine DevOps-Verfahren anwenden, lediglich bei 19 % liegt.
     
  • Entwickler sind nach wie vor der Meinung, dass Sicherheit wichtig ist, sie diese jedoch nicht priorisieren können. Dies ist das dritte Jahr in Folge, in dem 48 % der Befragten eingestanden haben, dass Entwickler das Gefühl haben, dass sie keine Zeit dafür haben.
     
  • 50 % der Befragten, die eine Cloud-Infrastruktur nutzen, gaben an, sich beim Schutz ihrer Cloud lediglich auf den Dienstanbieter zu verlassen.
     
  • 46 % der Unternehmen ohne DevOps-Verfahren verfügen nicht über verschlüsselte Anmeldeinformationen auf Anwendungsebene. Im Vergleich dazu verschlüsseln 75 % der Unternehmen mit erstklassigen DevSecOps-Verfahren ihre Anmeldeinformationen. 
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Unterstützende Zitate:

“Die wichtigsten DevOps-Prinzipien umfassen ständiges Lernen durch Zusammenarbeit, Automatisierung (CI/CD), Infrastruktur als Code sowie Monitoring und sie gewährleisten effektive und zeitnahe Reaktion auf Sicherheitslücken”, so Hasan Yasar, Technical Manager und Adjunct Faculty Member des Carnegie Mellon’s Software Engineering Institute. „Wir alle müssen erkennen, dass Sicherheit etwas Lebendiges ist. Unternehmen sollten darauf vorbereitet sein, Sicherheitsverletzungen jederzeit innerhalb ihres Application Lifecycle zu verhindern und darauf zu reagieren. Es ist schwer vorstellbar, dass ohne den Einsatz von DevSecOps eine ordnungsgemäße Cyber-Sicherheits-Hygiene vorhanden ist und ausreichende Vorkehrungen auf Sicherheitsverletzungen getroffen sind.“

Über die Umfrage:

Die “2019 DevSecOps Community Survey” bietet einen Einblick in die Einstellung von Software-Fachleuten in Bezug auf DevOps Best Practices und die sich verändernde Rolle der Anwendungssicherheit. Die hier vorgestellten Ergebnisse sind die Antwort auf 41 Fragen, die von Sonatype und Unterstützern der DevOps-Community gestellt wurden, darunter CloudBees, Signal Sciences, Twistlock, Chris Condo und Carnegie Mellon’s Software Engineering Institute. Die Fehlerquote der Umfrage beträgt ± 1,226 Prozentpunkte für 5.558 IT-Experten mit einem Konfidenzniveau von 95 %.

Die vollständige Umfrage finden Sie hier.

www.sonatype.com


Die Ergebnisse dieser Studie könnten Sie ebenfalls interessieren:

“NetOps” meets “DevOps”: Stand der Dinge bei der Netzwerkautomatisierung

Titel NetOps meets DevOps

400 IT-DevOps- und NetOps-Experten antworteten auf Fragen nach dem Status Quo der Netzwerkautomatisierung. Welche Best Practices können NetOps von DevOps adaptieren, um eine agilere, geschäftlich orientierte Wertschöpfung für die Netzwerke von morgen zu erzielen? 

Die Ergebnisse der Studie zeigen, dass das Netzwerkteam muss genauso agil und flexibel sein wie das Anwendungsteam und über die nötigen Voraussetzungen verfügen, um die Netzwerkagilität zu fördern.

Lesen Sie hier den vollständigen Bericht:

 Download 

Deutsch, 17 Seiten, PDF 0,3 MB, kostenlos

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.