In vielen Organisationen funktionierte DevOps getrennt von der Sicherheit. Angesichts der zunehmenden Geschwindigkeit bei der Entwicklung und Bereitstellung werden Sicherheitskontrollen häufig nur in den Hintergrund gerückt. Es zeigt sich jedoch, dass sich die DevSecOps-Bewegung, Sicherheit eher früher als später einzubeziehen, auszahlt.
DevOps ist eine Reihe von Praktiken, die kontinuierliche Integrationsprozesse einsetzen, indem sie die Silos zwischen Softwareentwicklung und IT-Betrieb aufbrechen.
Traditionell haben viele Organisationen die Teams nach Funktion getrennt, um Applications innerhalb einer Infrastruktur zu entwickeln, bereitzustellen und zu verwalten. Allerdings hat das Wettrennen um Innovation und digitale Transformation in Unternehmen auch das Tempo bei der Entwicklung und Veröffentlichung neuer Funktionen beschleunigt. Sicherheit wird oft nur in den Hintergrund gerückt, was die Qualität mindert und für viele unzufriedene Kunden sorgt. Das Hinzufügen einer Änderung des Application gegen Ende des Entwicklungszyklus ist nicht nur extrem kostspielig (aufgrund zusätzlicher Tests und erneuter Zertifizierungen), sondern verstärkt auch die allgemeine Wahrnehmung, dass „Sicherheit uns ausbremst“.
Da sich die Zyklen beschleunigen und Entwicklungsteams zunehmend agile Methoden anwenden, um Software schneller zu veröffentlichen, zielt die kontinuierliche Integration durch DevOps darauf ab, häufigere Releases bereitzustellen und so mehr neue Funktionen schneller auf den Markt zu bringen. Es geht nur um Geschwindigkeit.
Der Einsatz bewährter Sicherheitsmethoden in einem frühen Stadium der Softwareentwicklung kann erhebliche positive Auswirkungen auf Kosten und Effizienz haben. In vielen Organisationen arbeiten die Sicherheitsteams jedoch weiterhin isoliert voneinander – so wie Entwicklungs- und Betriebsteams vor der DevOps-Bewegung in Silos operierten. Aus diesem Grund ist eine noch neuere Bewegung entstanden, die Sicherheit in den kontinuierlichen Integrations-/Bereitstellungsprozess einbringt: DevSecOps.
Die zunehmende Popularität der DevSecOps-Bewegung ist größtenteils auf eine Methodik namens „Shifting Left“ zurückzuführen. Beim „Shifting Left“ konzentrieren sich Softwareentwicklungsteams von Anfang an auf robusten Code. Bei dieser Methode wird die Sicherheit von ihrer reaktiven Rolle als Gatekeeper weg und hin zu einer präventiven Rolle verlagert. Sicherheitsteams bieten Entwicklungsteams Anleitung und Unterstützung und integrieren die Sicherheitsautomatisierung lieber früher als später in die Entwicklungspipeline für Continuous Integration/Continuous Delivery (CI/CD).
In einer DevSecOps-Umgebung ist Sicherheit eine gemeinsame Verantwortung, die zu einer deutlich besseren Zusammenarbeit und einem größeren Feedback führt und die Barrieren zwischen Entwicklung, Betrieb und Sicherheit niederreißt, um Funktionen schneller, kostengünstiger und effizienter auf den Markt zu bringen.
Auch wenn Sicherheit eine gemeinsame Verantwortung ist, können Sicherheitsteams nicht erwarten, dass Entwickler sofort zu Sicherheitsexperten werden und bei der ersten Gelegenheit die richtigen Entscheidungen zu Sicherheitskontrolle treffen. Genau wie DevOps ist DevSecOps eine Philosophie, die einen kulturellen Wandel in der Art und Weise erfordert, wie Applications entwickelt und bereitgestellt werden. Wenn sich Sicherheitsteams jedoch auf die folgenden fünf Bereiche konzentrieren, können sie die Kosten senken, die Effizienz steigern und die Skalierbarkeit verbessern:
NACH LINKS VERSCHIEBEN
und integrieren Sie Sicherheit so früh wie möglich im Entwicklungslebenszyklus in den Prozess.
Machen Sie den sicheren Weg zum einfachen Weg
indem wir uns auf die Bereitstellung gebündelter, reibungsloser Sicherheitskontrollen konzentrieren, die in die Pipeline des Entwicklers (CI/CD) integriert sind.
SILOS AUFBRECHEN
um die Zusammenarbeit und das Feedback zwischen Entwicklungs-, Betriebs- und Sicherheitsteams (App Devs, DevOps und SecOps) zu verbessern.
FÖRDERN SIE SICHERHEITSMEISTER
innerhalb Ihrer Entwicklungsteams, um die Sicherheit stets im Auge zu behalten.
Erstellen Sie eine Build-Pipeline
um Sicherheitskontrollen und -tests im selben Tool zu erstellen, das der Entwickler verwendet. Auf diese Weise werden Kontrollen automatisch und konsistent angewendet und Entwicklungsteams sind nicht bei jeder neuen Version auf die Sicherheitsteams angewiesen.