Compliance-as-a-Code

Compliance-as-a-Code soll den Softwareentwicklungsprozess durch den automatischen Nachweis der Übereinstimmung eines neuen Codes mit den relevanten Richtlinien und Vorschriften verbessern.

Das Ziel bei der Realisierung von Compliance-as-a-Code ist, Ihre Compliance-Richtlinien so zu definieren, dass sie als Tests geschrieben werden können. Jede Software, die in Produktion gehen soll, muss diese Tests bestehen.

Der Zweck, diese Richtlinien als Code zu behandeln, besteht nicht nur darin, die Richtlinien als Software und Daten zu erfassen, sondern die Compliance für eine konsistente Anwendung im gesamten Unternehmen zu automatisieren und Praktiken der Softwareentwicklung auf sie anzuwenden. Dazu gehört beispielsweise, den Code unter Versionskontrolle zu halten und die Anwendung der Richtlinien zu beobachten und zu überwachen.

Es handelt sich um einen kontinuierlichen Prozess, der durch den Einsatz von Software zur Automatisierung der Implementierung, zur Verifizierung, zur Behebung, zur Überwachung und zum Reporting des Compliance-Status realisiert wird.

Beschreibung

Da sich der Softwareentwicklungsprozess durch Praktiken wie Continuous Delivery beschleunigt hat, hatten viele Unternehmen in stark regulierten Branchen Schwierigkeiten, die Einhaltung von Vorschriften nachzuweisen.

Wenn Sie Ihre Compliance-Anforderungen so kodifizieren, dass sie als Tests geschrieben werden können, sind Sie in der Lage, die Implementierung, Überprüfung, Behebung, Überwachung und das Reporting des Compliance-Status zu automatisieren.

Compliance-as-a-Code ist Teil der ‚Everything-as-Code‘-Bewegung und eine natürliche Folge der DevOps-Bewegung, die darauf abzielte, Entwickler und Ingenieure zusammenzubringen, um kollaborativ zu arbeiten. Dieser Denkansatz entwickelte sich schnell weiter und regte an, dass multidisziplinäre Teams alle Geschäftsfunktionen umfassen sollten. Jede Geschäftsfunktion verfügt über ein Mitspracherecht, wenn es darum geht, Software in Produktion zu geben oder zu verifizieren. Dies könnte außerdem auf automatisierte Weise durch Software-Tools erreicht werden, die den Code vor der Freigabe in die Produktion auf – in diesem Fall – Compliance testen.

Vorteile

Compliance wird oft als Engpass im Softwarebereitstellungsprozess angesehen, der Unternehmen durch aufwändige Compliance-Prozeduren ausbremst. Compliance-as-a-Code verspricht die Einführung der Automatisierung – so können Sie neue digitale Dienste schneller auf den Markt bringen. Außerdem hat es den Vorteil, dass die Erstellung eines Audit-Trails zum Nachweis der Compliance automatisiert wird.

Da Compliance-as-a-Code die Zusammenarbeit multidisziplinärer Teams erfordert, können Sie das Wissen über Compliance einer breiteren Zielgruppe im Unternehmen zugänglich machen.

Trade-offs

Wie bei vielen agilen Praktiken kann auch dieser Ansatz, wenn er neu im Unternehmen eingesetzt wird, eine kulturelle Herausforderung darstellen. Einige Expertinnen und Experten argumentieren vielleicht, dass bestimmte Compliance-Regeln nicht zu automatisieren sind. Aber auch in diesem Fall lässt sich ein Großteil der Daten, die für die Entscheidungsfindung erforderlich sind, automatisieren.

Anwendung

Compliance-as-a-Code hat in der Finanzdienstleistungsbranche sowie in Fertigungs- und Lieferkettenunternehmen viel Aufmerksamkeit erregt – insbesondere bei Unternehmen, die auf moderne Softwareentwicklungsprozesse umstellen wollen.