Thought Leadership
Schon im letzten Jahr hat ein Thema ganz klar die Berichterstattung rund um Anwendungsentwicklungen dominiert: DevOps. Die Zeiten jedoch, als der DevOps-Ansatz noch belächelt wurde, sind lange vorbei.
Jedes vierte der 2.000 weltweit größten Unternehmen richtet mittlerweile seine Software-Entwicklung nach den Prinzipien von DevOps aus – Tendenz steigend. Vorteile dieses Ansatzes sind kürzere Entwicklungszeiten, mehr Releases und höherwertige Software. Für die IT-Sicherheit ist diese Umstellung mit Herausforderungen verbunden, stellt aber ebenso eine große Chance dar – DevSecOps ist hier das Stichwort. Ziel ist es, Qualität mit Sicherheit gleichzusetzen und von Anbeginn der Entwicklung den Sicherheitsaspekt mit einzubeziehen.
Gemeinsame Verantwortung
Entwickler und IT-Verantwortliche rücken näher zusammen – aus „Devs“ und „Ops“ werden DevOps. In der Praxis bedeutet das einen regelmäßigeren Austausch, gegenseitige Weiterbildung und vor allem die Verpflichtung beider Seiten auf gemeinsame Ziele und Werte. Das bisherige „Blame-Game“ muss aufhören. Beide Seiten müssen verstehen, dass Sicherheit nur möglich ist, wenn Entwickler und IT-Verantwortliche als Team auftreten und sich gleichermaßen für das Thema Sicherheit verantwortlich fühlen.
Automatisierung
Eine weitere Säule von DevOps ist die Automatisierung von Arbeitsabläufen. Geeignete Tools sollen Vorgänge, die zuvor manuell verrichtet wurden, in Zukunft eigenständig erledigen – die Wahrscheinlichkeit von Fehlern wird so zusätzlich minimiert. Dies betrifft vor allem das Deployment von Software: agile Methoden in der Entwicklung sind oftmals nicht mit der gleichbleibenden Geschwindigkeit im Betrieb vereinbar. Die Automatisierung zielt darauf ab, auch in diesem Bereich für einen Effizienzsprung zu sorgen. Zusätzlich erfüllt sie die Forderungen des IT-Betriebs nach möglichst sicheren und stabilen Releases, indem sie die Fehlersuche und Qualitätskontrolle systematisiert.
Sicherheit von Anfang an
Der kurze und zyklische Charakter von DevOps fordert von Entwicklern, dass sie ein rasantes Innovationstempo beibehalten, um das Geschäftswachstum voranzutreiben. Das späte Finden von Schwachstellen im Software-Lebenszyklus stört den gesamten Prozess, verlangsamt die Produktions- und Release-Zyklen und erhöht die Entwicklungskosten. Entdeckt und behebt man Schwachstellen noch während der Programmierungsphase, lässt sich laut NIST (National Institute of Standards and Technology) das zehnfache an Kosten einsparen im Vergleich zur Beseitigung von Schwachstellen während der Testphase.
Deshalb ist es wichtig, Sicherheit von Anfang an in den Software-Lebenszyklus einzubauen. Es gibt zahlreiche Lösungen, die Entwickler dabei unterstützen, ohne sie in der Entwicklung einzuschränken. Veracode Greenlight beispielsweise integriert sich nahtlos in gängige Entwicklungsumgebungen und ermöglicht dem Entwickler innerhalb von Sekunden einzelne Programmdateien auf Sicherheitslücken zu scannen. Somit wird die Sicherheit zu einem integralen Teil des Softwareentwicklungsprozesses. Ablaufstörungen und -verzögerungen, die mit der Anwendung sicherer Codierungspraktiken verbunden sind, werden dadurch deutlich reduziert.
Der Schritt von DevOps hin zu DevSecOps ist nicht weit. Kein Wunder also, dass langsam immer mehr Unternehmen auf DevSecOps setzen. So verbessern sie das Arbeitsklima und profitieren von kürzeren Entwicklungszeiten, häufigeren Releases sowie höherwertiger Software, die von Grund auf sicher programmiert wurde.
Nabil Bousselham, Solution Architect bei Veracode
