DevSecOps ist ein Begriff, der geprägt wurde, um Sicherheitspraktiken in die Zusammenarbeit zwischen Softwareentwicklung und IT-Betrieb – bekannt als DevOps – zu integrieren.
DevSecOps kennzeichnet das systematische Aufbrechen der Silomentalität in Aspekten der Entwicklung, Sicherheit und des Betriebs von Software und Software-Delivery-Organisationen. Es soll Menschen und Systeme, die alle diese Aspekte abdecken, in die Lage versetzen, effektiver zusammenzuarbeiten.
Ein Ansatz zur Integration der Sicherheit in moderne Praktiken der Softwareentwicklung.
Verringerung von Betriebsrisiken und Projektverzögerungen, die häufig auftreten, wenn die Sicherheit erst am Ende des Entwicklungsprozesses zum Tragen kommt.
Wie viele agile Arbeitspraktiken kann auch DevSecOps einen Kulturwandel erfordern, den einige Unternehmen als schwierig empfinden.
Es handelt sich um eine Weiterentwicklung der DevOps-Bewegung, die Sicherheitsteams mit einbezieht.
Beschreibung
DevOps sollte die Entwickler:innen und operativen IT-Teams in einem Unternehmens näher zusammenbringen, um bessere Systeme für das Unternehmen aufzubauen. DevSecOps fügt zu dieser Mischung noch die Sicherheitsteams hinzu, und macht damit die Unternehmenssicherheit für die gesamte Softwareentwicklung zu einem vorrangigen Anliegen.
Bislang war es für ein Unternehmen üblich, diese drei Aspekte der Softwareentwicklung durch den Einsatz separater Teams, Prozesse und Systeme getrennt zu halten. DevSecOps bezieht sich auf eine Organisation, die sich dafür entscheidet, diese Aspekte zu kombinieren, um dieselben Strategien zu nutzen und zu integrieren. Die Teams können sich fokussieren und Technologien entwickeln – und dabei agieren alle Aspekte gleichberechtigt und harmonisch.
In der Praxis heißt das, die Entwicklungsteams führen ihre Sicherheitstests während der laufenden Arbeit am Projekt durch. Die Probleme werden so behandelt, wie sie auftreten. Daher muss sichergestellt sein, dass Entwicklungsteams über die erforderlichen Sicherheitskompetenzen verfügen.
Vorteile
Wenn Sicherheit zur Aufgabe aller Mitarbeiter:innen im Unternehmen wird, lassen sich Geschäftsrisiken verringern. Dank DevSecOps arbeiten Teams nicht mehr isoliert. Sie können ihre Ziele besser kommunizieren, was Engpässe verringert und für klare Verantwortlichkeiten und gemeinsames Fachwissen sorgt.
Es verstärkt den Schwerpunkt auf die Automatisierung von Builds und Qualitätssicherungstests und kann dazu führen, dass Schwachstellen im Code frühzeitig erkannt werden. Damit lassen sich die Risiken eines Angriffs verringern.
Trade-offs
Wie bei vielen agilen Arbeitsmethoden ändert sich auch hier die Art und Weise, wie Mitarbeiter:innen zusammenarbeiten. DevSecOps bringt mehr Kollaboration und weniger wechselseitiges Hin- und Herschieben von Verantwortlichkeiten. Für viele ein kultureller Wandel!
Anwendung
Viele Unternehmen nähern sich zunehmend einem DevSecOps-Ansatz an. Der geht oft Hand in Hand mit dem, was als ‚Moving Security Left‘ bekannt ist. Dabei werden Prüfungen auf Schwachstellen und Szenariotests früher in den Produktionszyklus eingebracht.
Ähnliche Themen
Ähnliche Beiträge
Welches Thema sollen wir für Sie entschlüsseln?
Hinterlassen Sie Ihre E-Mail-Adresse und wir melden uns, wenn der Begriff decodiert wurde.