Endprodukte sichern mit DevSecOps
DevSecOps ist kein Trend, den ein Unternehmen ignorieren oder nach Belieben nutzen kann. Wer sich mit der Materie auskennt, weiß, dass es sich hierbei um einen wichtigen Sicherheitsaspekt handelt. Mit DevOps werden in einem Unternehmen sogenannte Silos aufgebrochen. Somit können die Abteilungen Entwicklung und Betrieb parallel zusammenarbeiten. Das Ziel besteht unter anderem darin, eine bessere Software zu liefern. Allerdings darf die Sicherheit nicht darunter leiden. Deswegen geht DevSecOps noch einen Schritt weiter.
Sechs von zehn Firmen arbeiten schon mit DevOps
Laut der „Trendstudie DevOps 2017“ nutzen sechs von zehn Unternehmen in Süddeutschland bereits DevOps. Damit ist zwar ein erster Schritt getan, dem allerdings weitere Schritte folgen müssen. „Viele Unternehmen überfordern sich selbst, wenn sie zusätzlich zu DevOps auch noch die agile Transformation des gesamten Unternehmens anstoßen“, meint dazu Peter Mörsch, der bei CA Technologies als Principal Business Technology Architect arbeitet. Es müssten neue Software-Lösungen angeschafft werden. Dennoch ist es für Mörsch „nur eine Frage der Zeit, bis die Unternehmen auch das Thema DevSecOps angehen“.
Unterlassungssünden mit katastrophalen Folgen
Hochqualifizierte Fachkräfte und diffizile Prüfmechanismen sind das A und O, wenn es um Gewährleistung der Sicherheit von Software geht. Eine DevOps-Strategie erfordert von Anfang an die passenden Spezialisten. Wenn erst kurz vor der Fertigstellung oder gar nach der Auslieferung der Software die entsprechenden Fachleute hinzugezogen werden, müssen im schlimmsten Fall katastrophalen Folgen in Kauf genommen werden.
Sicherheit ist keine Nebensache
Wer meint, er könne DevOps betreiben, ohne den Sicherheitsaspekt ins Zentrum des Prozesses zu setzen, der setzt DevOps falsch ein. Peter Mörsch erkennt bei dem Prozess zwei Herausforderungen: „DevSecOps benötigt eine integrierte Automatisierung, das kann bedeuten, dass man sich von bislang genutzten Tools trennen muss. Zudem bedarf es eines tiefen Verständnisses aller Mitarbeiter für die Veränderungen und die Herausforderungen des jeweils anderen.“
Nicht jeder Entwickler muss ein Sicherheitsexperte werden
Entwickler wissen durchaus um die verschiedenen Sicherheitsaspekte ihrer täglichen Arbeit. Dennoch ist es in der Regel so, dass ihr Hauptanliegen das Schreiben und Testen von Software ist. Mike Bursell von Red Hat meint daher: „Man sollte nicht jedem Entwickler sagen müssen, er solle jetzt ein Sicherheitsexperte werden. Hat man aber bestimmte Mitarbeiter im Einsatz, die damit betraut seien, vorhandene Richtlinien innerhalb der Prozesse zu automatisieren, muss man lediglich sicherstellen, dass diese auch eingehalten werden“. Aktive Eingriffe wären demnach die Ausnahme.
Sicherheit kein Bremsklotz
Von manchen Unternehmen wird das Thema Security als Bremsklotz für DevOps angesehen. Aber das Gegenteil ist der Fall. Für DevSecOps spricht das hohe Maß an Sicherheit, wenngleich es keine Garantie für eine hundertprozentige Sicherheit gibt. Mit dem Einsatz von DevSecOps und der Verzahnung aller wesentlichen Faktoren erhöht sich jedoch die Wahrscheinlichkeit, Probleme rechtzeitig zu erkennen und zu beheben.
Herausforderungen ohne Ende
Es darf aber nicht verschwiegen werden, dass DevSecOps nicht nur eine Herausforderung für das Unternehmen sein kann, sondern auch eine „unendliche Geschichte“. Denn Agilität bedeutet im Endeffekt, sich von festen Zyklen zu verabschieden. Stattdessen sind die Entwicklungsprozesse ebenso einem permanenten Wandel unterzogen wie die sich veränderten Bedrohungen.
