igor - Fotolia

Warum man auf DevSecOps und nicht auf DevOps setzen sollte

Nennen wir es DevOps mit integrierter Security. DevSecOps bedeutet, Sicherheitsbedenken als Teil des Deployment-Prozesses zu betrachten, statt nachträglich.

DevSecOps ist, wie der Name schon sagt, DevOps mit einem integrierten Sicherheitsmix. DevSecOps betrachtet „Security als Code“ und ist ein Prozess, bei dem Sicherheitsbedenken in der Entwicklung und Bereitstellung von Anfang an berücksichtigt werden, anstatt sie erst nachträglich anzuwenden.

Das Konzept fügt das IT-Security-Team mit dem IT-Betrieb sowie dem Entwicklungsteam zusammen. Da alle drei Teams zusammenarbeiten, ist es einfacher, Sicherheitskontrollen in die Implementierungs-Pipeline zu integrieren, was Verzögerungen und Probleme reduziert, die entstehen, wenn ein Unternehmen Security als separates Element betrachtet, das vom Entwicklungsprozess getrennt ist. Und mit Automatisierung, die durch Cloud Computing möglich ist, können Unternehmen mit weniger Verzögerungen und Ausfallzeiten aufgrund von Sicherheitsmängeln effizienter werden.

Wie bei DevOps erfordert auch DevSecOps einen Kulturwandel, damit es wirklich funktioniert. Wenn ein Unternehmen bereits überlegt, einen DevOps-Ansatz zu wählen, der einen Kulturwandel mit einer Verschiebung der Teamstruktur und Tools erfordert, wäre es gut, den zusätzlichen Schritt zu gehen, das Informationssicherheitsteam in den Mix einzubinden und DevSecOps zu implementieren. Warum sollte man Sicherheit aus dem Spiel lassen, wenn DevOps den gleichen organisatorischen Wechsel wie DevSecOps erfordert?

In seinem Aufsatz The DevSecOps Approach to Securing Your Code and Your Cloud (PDF) stellt Dave Shackleford, Inhaber von Voodoo Security, fest, dass die Implementierung von DevSecOps „Planung in Form von Bedrohungsmodellen und Risikobewertungen“ erfordert.

Anhand von Bedrohungsmodellen können Sicherheitsteams erkennen, welche Bedrohungen wahrscheinlich sind und wie die Cloud Assets eines Unternehmens geschützt werden. Risikobewertungen helfen Sicherheitsteams herauszufinden, welche Sicherheitskontrollen derzeit verwendet werden und welche sie ändern und ersetzen müssen, um die Cloud Assets des Unternehmens zu schützen.

„Es ist fast eine Garantie dafür, dass einige Sicherheitskontrollen nicht so funktionieren, wie sie es intern getan haben, oder die in der Umgebung eines Cloud-Service-Providers nicht verfügbar sind“, schreibt Shackleford. Daher ist es wichtig, dass Sicherheitsspezialisten vor Ort sind, um Probleme zu vermeiden, die sich auf dem weiteren Weg ergeben.

Bedrohungsmodelle und Risikobewertungen werden in einem kontinuierlichen Entwicklungszyklus benötigt, der Sicherheitsbedenken einbezieht. Die traditionelle Bereitstellung geht häufig auf dem Weg zu DevOps verloren, so dass diese Planungs- und Überprüfungsprozesse parallel zur Produktionsumgebung stattfinden müssen.

Sicherheit in DevOps zu integrieren, hört sich zwar wie ein zusätzlicher Schritt an, der das Tempo der Entwicklung verlangsamt – nur ein weiterer Koch in der Küche –, doch wenn er effektiv mit den richtigen Kontrollen umgesetzt wird, kann DevSecOps zu mehr Effizienz und besseren, sichereren Produkten am Ende der Entwicklung führen.

Was nützt es schließlich, einen DevOps-Ansatz zu verfolgen, der Software mit Sicherheitsmängeln ausgibt? Mit DevSecOps kann die Softwareentwicklung wirklich kontinuierlich werden, wo Stakeholder aus den Entwicklungs-, Betriebs- und Sicherheitsteams die Ergebnisse überprüfen.

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

ALM-Automatisierung in einem modernen DevOps-Ansatz.

Kostenloser E-Guide: DevOps und Security kombinieren.

DevOps: Wie kann Application Lifecycle Management digitale Schlüssel schützen?

Artikel wurde zuletzt im September 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Software-Integration

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchDataCenter.de

Close