DevSecOps: „Fehlende Daten können anfällige Daten sein“

Kommentar von Brian Dawson

Die moderne IT-Welt ist ein gefährliches Pflaster. Von der Entwicklung über das Deployment bis hin zur Nutzung fertiger Anwendungen gibt es quasi an jeder Ecke potentielle Schwachstellen. Kein Wunder also, dass „Security“ ein zentraler Bereich der Softwareentwicklung ist. Brian Dawson, DevOps-Evangelist bei CloudBees, gibt in seinem Kommentar eine Antwort auf die Frage, was DevSecOps eigentlich ist und spricht über die aktuelle Sicherheitslage in der IT.

DevSecOps – Was ist das eigentlich?!

Bei DevSecOps geht es darum, die Sicherheit in die Praktiken von DevOps zu integrieren. Der Schwerpunkt von DevOps liegt auf der Bereitstellung von Qualitätssoftware, und Qualitätssoftware muss gleichzeitig auch sichere Software bedeuten. In den letzten Jahren stand die Sicherheit an vorderster Stelle der IT-Prioritäten und wird darum auch in den Diskussionen über DevOps berücksichtigt. Organisationen verfolgen neue DevSecOps-Praktiken, die die Sicherheit in Dev und Ops integrieren. Das gilt für Continuous-Integration- wie für Continuous-Delivery-Prozesse (CI/CD-Prozesse). Hierdurch entsteht ein neues Modell für kontinuierliche Sicherheit.

DevSecOps ist die Antwort auf die Herausforderungen, mit denen DevOps-Organisationen sich konfrontiert sehen. Es legt einen neuen Schwerpunkt auf die Sicherheit, um Schwachstellen frühzeitig und häufig zu erkennen und zu beseitigen. Zudem macht DevSecOps die Sicherheit zur Verantwortung aller, vom Management über die Entwicklung und Qualitätssicherung bis zum Betrieb. Zu guter Letzt automatisiert es Sicherheitsfunktionen und beseitigt so die Hindernisse, die einer schnellen Umsetzung von Sicherheit im Wege stehen.

The Conference for Continuous Delivery, Microservices, Containers, Cloud & Lean Business

Gamification: A Strategy for Enterprises to enable Product Practices

with Garima Bajpai | capital carbon consulting

Cluster-API: One Kubernetes to rule them all (+ArgoCD)

with Erkan Yanar | linsenraum.de

Neues DevOps Training für Fortgeschrittene: Kubernetes Camp - Advanced mit Erkan Yanar

Meine Sicherheitsprognose

DevSecOps ist wie DevOps in dem Sinne, dass es darauf abzielt, durch Zusammenarbeit im Team mehr Effizienz und Produktivität zu erreichen. Aber im Gegensatz zu DevOps bezieht es Sicherheitsprinzipien in den Gesamtprozess ein. Sicherheitsverantwortliche arbeiten mit den Entwicklern in jedem Schritt des Prozesses zusammen, nicht nur am Ende, wie es bei der traditionellen Sicherheitstechnik der Fall ist. In Zukunft wird die Sicherheit fester Bestandteil des Entwicklungsprozesses.

In den kommenden Monaten und Jahren wird der Schwerpunkt noch stärker auf die Zusammenarbeit in Teams gelegt werden, die über die IT hinausgehen und breitere Interessengruppen aus der Produktentwicklung und dem Management einbeziehen. Es wird auch mehr Gewicht auf Daten gelegt werden, insbesondere auf gemeinsam genutzte Daten, die leicht zurückverfolgt werden können, denn fehlende Daten können anfällige Daten sein.

Die verstärkte Zusammenarbeit und die von verschiedenen Abteilungen und Interessengruppen gemeinsam genutzten Daten werden den Weg für SDM (Software Delivery Management) ebnen. Die vier Säulen von SDM sind: gemeinsame Daten und Prozesse, Transparenz, universelle Einsichten und Zusammenarbeit aller Funktionen.