Anzeige

DevSecOps

Das SANS Institute stellt die Ergebnisse der Umfrage zu Rethinking the Sec in DevSecOps: Security as Code in der gleichnamigen Studie von den SANS-Instructors Jim Bird und Eric Johnson vor.

Mit der Verlagerung von IT-Workloads in die Cloud ändert sich wie Unternehmen Systeme entwickeln und bereitstellen - und wie IT-Sicherheit umgesetzt werden muss. Der Report gibt Antworten auf die Fragen, was dieser Wandel für das moderne Unternehmen und sein Sicherheitsprogramm bedeutet. 

„Aus IT-Sicherheit wird bei DevSecOps Security Engineering. Das bedeutet nicht weniger als das Schreiben von Sicherheits- und Compliance-Richtlinien im Code. Anwendungscode und Servicekonfigurationen muss überprüft, gescannt und getestet werden. Die Verantwortlichen müssen ein Verständnis dafür entwickeln, wie Anwendungsentwicklungs- und System-Engineering-Teams arbeiten und ihnen helfen, Tools zu finden und zu implementieren, um Sicherheitstests direkt in die Entwicklung zu integrieren. Security as Code erfordert daher neue Fähigkeiten und neue Denk- und Arbeitsweisen: kollaborativer und transparenter, schneller und iterativer. Es erfordert, sich auf Automatisierung zu stützen, um allgemeine Probleme zu lösen und Kosten und Risiken zu reduzieren,“ fassen Bird und Johnson die Ausgangssituation zusammen.

Einige wichtige Ergebnisse des Reports:

  • Mehr als die Hälfte (57 %) der Unternehmen nutzen drei oder mehr Cloud-Plattformen. Jede Cloud-Plattform ist einzigartig: Die Konfigurationsmodelle unterscheiden sich, ebenso die APIs und Services. Daher unterscheiden sich auch die Betriebs- und Sicherheitsrisiken, was es schwierig macht, sie zu verstehen und zu verwalten. Cloud-agnostische Tools helfen zunehmend dabei, Kosten und Risiken zu reduzieren.
     
  • Grundlegende Softwareentwicklungspraktiken wie CI/CD und Testautomatisierung sind der Schlüssel zur Bereitstellungsgeschwindigkeit und zu kontinuierlichen Sicherheitstests. Wenn Entwicklungsteams ihre Build-/Testarbeit nicht automatisieren, wird es für sie schwieriger, automatisierte Sicherheitstests zu implementieren. Während 66 Prozent der Unternehmen derzeit Builds automatisieren, folgt nur die Hälfte der Unternehmen (52 %) der CI und nutzt die Vorteile automatisierter Tests.
     
  • Entwicklungsteams werden immer schneller, doch auch die Angreifer werden immer schneller. Nur die Hälfte der Unternehmen (51 %) patcht oder behebt kritische Sicherheitsschwachstellen und andere kritische Sicherheitsrisiken innerhalb einer Woche nach der Identifizierung dieser Risiken. Unternehmen müssen DevOps und agile Praktiken sowie automatisierte Build-Chains und automatisierte Tests nutzen, um Patches schneller und zuverlässiger bereitzustellen.

Weitere Informationen:

Den kompletten Report „Rethinking the Sec in DevSecOps: Security as Code“ erhalten Teilnehmer des Webcasts, der am 21. Juni um 13 Uhr EDT US-Zeit (19 Uhr CET) stattfindet. Wer den Webcast verpasst, bekommt über das Archiv die Möglichkeit dies nachzuholen. Sponsoren der Umfrage sind Accurics, Aqua Security, ForAllSecure, Micro Focus, Sysdig und Veracode.

www.sans.org
 


Artikel zu diesem Thema

Superheld
Mai 20, 2021

Softwareentwicklung braucht „Security Champions“

Anwendungen und Plattformen sind die Grundpfeiler des digitalen Wandels. Durch…
DevSecOps
Apr 30, 2021

IT-Dienstleister sollen den Dschungel aus DevSecOps-Lösungen lichten

Automatisierung etwa durch Technologien der künstlichen Intelligenz (KI) und des Machine…
Patch
Apr 26, 2021

Patch-Management: Tägliche Herausforderung von IT-Admins und MSPs

Für IT-Administratoren und Managed Service Provider (MSP) ist es wichtig, mit den…

Weitere Artikel

Software

Was ist ein Litespeed Cache und wo liegen die Vorteile?

Ein Litespeed Cache ist ein anpassbarer und effizienter Seitencache, der durch einen LiteSpeed Webserver auf einer Linux-Plattform angeboten wird. Der Einsatz eines LiteSpeed Caches kann die Ladezeiten einer Wordpress-Webseite um einiges verkürzen. Die…
Geschäftsmann

Mein Companion, der Business Messenger

Bei aller Agilität, die New Work ermöglicht: Je mehr Nachrichten und unterschiedlichste Kommunikationstools eingesetzt werden, umso komplizierter wird der schnelle und mühelose Austausch unter Kollegen. Höchste Zeit, die interne Kommunikation in der New Work…
Software-Testing

Software-Testing der Zukunft in Low-Code/No-Code-Umgebungen

Mit der zunehmenden Digitalisierung hat Software in jedem Bereich unseres Lebens Einzug gehalten. Dadurch wächst der Bedarf an neuen Applikationen und Features rasant. Um wettbewerbsfähig zu bleiben, müssen Unternehmen immer kürzere Release-Zyklen bewältigen.
Weltkarte digital

IT-Dokumentation als infrastrukturelle Basis für Expansionsplanungen

Eine störungsfrei funktionierende IT-Infrastruktur ist für die Carl Zeiss AG erfolgskritisch, denn die Produktion in den Werken muss auf jeden Fall sichergestellt sein. ZEISS setzt dabei nun auf die cloudbasierte Software-Lösung FNT Command.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.