Anzeige

DevSecOps

Das SANS Institute stellt die Ergebnisse der Umfrage zu Rethinking the Sec in DevSecOps: Security as Code in der gleichnamigen Studie von den SANS-Instructors Jim Bird und Eric Johnson vor.

Mit der Verlagerung von IT-Workloads in die Cloud ändert sich wie Unternehmen Systeme entwickeln und bereitstellen - und wie IT-Sicherheit umgesetzt werden muss. Der Report gibt Antworten auf die Fragen, was dieser Wandel für das moderne Unternehmen und sein Sicherheitsprogramm bedeutet. 

„Aus IT-Sicherheit wird bei DevSecOps Security Engineering. Das bedeutet nicht weniger als das Schreiben von Sicherheits- und Compliance-Richtlinien im Code. Anwendungscode und Servicekonfigurationen muss überprüft, gescannt und getestet werden. Die Verantwortlichen müssen ein Verständnis dafür entwickeln, wie Anwendungsentwicklungs- und System-Engineering-Teams arbeiten und ihnen helfen, Tools zu finden und zu implementieren, um Sicherheitstests direkt in die Entwicklung zu integrieren. Security as Code erfordert daher neue Fähigkeiten und neue Denk- und Arbeitsweisen: kollaborativer und transparenter, schneller und iterativer. Es erfordert, sich auf Automatisierung zu stützen, um allgemeine Probleme zu lösen und Kosten und Risiken zu reduzieren,“ fassen Bird und Johnson die Ausgangssituation zusammen.

Einige wichtige Ergebnisse des Reports:

  • Mehr als die Hälfte (57 %) der Unternehmen nutzen drei oder mehr Cloud-Plattformen. Jede Cloud-Plattform ist einzigartig: Die Konfigurationsmodelle unterscheiden sich, ebenso die APIs und Services. Daher unterscheiden sich auch die Betriebs- und Sicherheitsrisiken, was es schwierig macht, sie zu verstehen und zu verwalten. Cloud-agnostische Tools helfen zunehmend dabei, Kosten und Risiken zu reduzieren.
     
  • Grundlegende Softwareentwicklungspraktiken wie CI/CD und Testautomatisierung sind der Schlüssel zur Bereitstellungsgeschwindigkeit und zu kontinuierlichen Sicherheitstests. Wenn Entwicklungsteams ihre Build-/Testarbeit nicht automatisieren, wird es für sie schwieriger, automatisierte Sicherheitstests zu implementieren. Während 66 Prozent der Unternehmen derzeit Builds automatisieren, folgt nur die Hälfte der Unternehmen (52 %) der CI und nutzt die Vorteile automatisierter Tests.
     
  • Entwicklungsteams werden immer schneller, doch auch die Angreifer werden immer schneller. Nur die Hälfte der Unternehmen (51 %) patcht oder behebt kritische Sicherheitsschwachstellen und andere kritische Sicherheitsrisiken innerhalb einer Woche nach der Identifizierung dieser Risiken. Unternehmen müssen DevOps und agile Praktiken sowie automatisierte Build-Chains und automatisierte Tests nutzen, um Patches schneller und zuverlässiger bereitzustellen.

Weitere Informationen:

Den kompletten Report „Rethinking the Sec in DevSecOps: Security as Code“ erhalten Teilnehmer des Webcasts, der am 21. Juni um 13 Uhr EDT US-Zeit (19 Uhr CET) stattfindet. Wer den Webcast verpasst, bekommt über das Archiv die Möglichkeit dies nachzuholen. Sponsoren der Umfrage sind Accurics, Aqua Security, ForAllSecure, Micro Focus, Sysdig und Veracode.

www.sans.org
 


Artikel zu diesem Thema

Superheld
Mai 20, 2021

Softwareentwicklung braucht „Security Champions“

Anwendungen und Plattformen sind die Grundpfeiler des digitalen Wandels. Durch…
DevSecOps
Apr 30, 2021

IT-Dienstleister sollen den Dschungel aus DevSecOps-Lösungen lichten

Automatisierung etwa durch Technologien der künstlichen Intelligenz (KI) und des Machine…
Patch
Apr 26, 2021

Patch-Management: Tägliche Herausforderung von IT-Admins und MSPs

Für IT-Administratoren und Managed Service Provider (MSP) ist es wichtig, mit den…

Weitere Artikel

Legacy

Auf diese Legacy-Trends muss im neuen Jahr geachtet werden

Eine neue Generation von IT-Verantwortlichen, Microservices und Cloud: IT-Dienstleister Avision erläutert, welche Trends im Jahr 2022 die Altanwendungen von Unternehmen prägen werden.
Systemintegration

Next Generation IT-Integration

Dass sich widersprüchliche und lückenhafte Daten negativ auf den Geschäftserfolg auswirken, wird inzwischen fast überall wahrgenommen. Welchen Stellenwert dieser Effekt für die weitere Digitalisierung und den damit verbundenen Wandel im Unternehmen hat, wird…
FNT GraphicCenter

FNT GraphicCenter: Visualisierung und Analyse von Infrastruktur- und Servicedaten

Leistungsfähige, störungsfreie und flexible Infrastrukturen sind die Basis für alle digitalen Geschäftsprozesse und Anwendungen, seien es Smart Cities, Industrie 4.0 oder auch 5G. Mit den cloudbasierten Softwarelösungen der Ellwanger FNT GmbH erfassen,…
DevOps

Die DevOps/DevSecOps-Vorhersagen für 2022

So wie DevOps, ist der DevSecOps-Ansatz kein Produkt, dass man kauft, oder eine Lösung, die man implementiert. Es erfordert einen Kulturwandel im Unternehmen. Wie kann man also eine Strategie für DevOps und DevSecOps im Jahr 2022 formulieren?

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.