DevSecOps in Unternehmen Auf dem Weg zu einer erfolgreichen DevSecOps-Kultur

Autor / Redakteur: Patrick Dubois / Peter Schmitz

Technologie, klare Prozesse, mehr Eigenverantwortlichkeit: Der DevSecOps-Ansatz ermöglicht mehr Sicherheit in der Anwendungsentwicklung. Doch wenn dieses hilfreiche Konzept in Unternehmen eingeführt wird, gibt es einige Aspekte zu beachten.

Firmen zum Thema

Eine Transformation hin zu DevSecOps benötigt Zeit und einen Kulturwandel.
Eine Transformation hin zu DevSecOps benötigt Zeit und einen Kulturwandel.
(© ribkhan - stock.adobe.com)

Das Konzept DevOps gibt es schon seit etwas mehr als zehn Jahren in der Anwendungsentwicklung. Dadurch sollen Silos zwischen Entwickler- und Betriebsteams aufgebrochen werden, da diese oft eine reibungslose Zusammenarbeit und eine ganzheitliche Sicht auf die Anwendungsentwicklung erschweren. Eine umfassendere Kollaboration bietet dagegen viele Vorteile: Produkte können zum Beispiel schneller auf den Markt gebracht werden – und das in besserer Qualität.

Auch der neue DevSecOps-Ansatz bricht Silos auf – legt aber einen besonderen Fokus auf Produktsicherheit. Diese höhere Sicherheit wird durch die Zusammenarbeit von Entwicklern, Operations- und Sicherheitsexperten erreicht, da diese mit vereinter Expertise noch fundiertere Entscheidungen treffen können. Auch die Rolle der Teamleitung ändert sich dadurch: Früher war der Chef oder die Chefin oft die Schnittstelle zwischen den Teams – und saß dann manchmal auch sprichwörtlich zwischen allen Stühlen. Im Rahmen von DevSecOps unterstützen Teamleiter dagegen das gesamte Team bei ihren Entscheidungen und schaffen einen Rahmen für eine umfassende Zusammenarbeit. Eine erfolgreiche DevSecOps-Kultur bedeutet auch, dass jeder Mitarbeiter und Mitarbeiterin seinen Teil zu allen drei Bereichen beiträgt und die Kollegen am eigenen Fachwissen teilhaben lässt. Eigenverantwortlichkeit und der Blick über den eigenen Tellerrand, aber auch gegenseitige Unterstützung, sind hierfür entscheidende Grundlagen.

Ein solcher tiefgreifender Wandel findet natürlich nicht über Nacht statt, sondern braucht seine Zeit – zumal auch die Umsetzung in jedem Unternehmen variieren kann. Und auch der CEO ist gefragt: Schließlich hängt es auch von ihm oder ihr ab, welche Kollaborationskultur im Unternehmen gelebt wird. Dabei spielen verschiedene Aspekte eine Rolle: Neben der Befähigung und Unterstützung der Mitarbeiter sind auch Kontrollmechanismen und konkrete Erfolgsmessung beim Thema Sicherheit relevant.

Vertrauen als Grundlage für Transformationsprozesse

Wie auch immer die Zusammenarbeit in einem Unternehmen konkret gestaltet wird – ganz entscheidend ist immer das gegenseitige Vertrauen, in diesem Fall zwischen den IT-Sicherheitsexperten und den Kollegen aus dem DevOps-Bereich. Eine vertrauensvolle Zusammenarbeit entsteht aber nicht von selbst, sondern beruht auf vier Aspekten: Fachkompetenz, Zuverlässigkeit, Engagement und Sorgfalt. Wenn ein Kollege zwar die Sicherheits-Scans kompetent durchführt, aber nicht auf Nachfragen reagiert oder sich nicht um eventuell auftretende Probleme kümmert, ist eine gute Zusammenarbeit schwierig. Und hier gilt wie bei vielem im Leben: Vertrauen ist keine Einbahnstraße – man sollte immer auch zuerst an sich selbst arbeiten, und die eigene Arbeitsweise und das eigene Auftreten selbstkritisch hinterfragen.

Die vier entscheidenden Bereiche bei DevSecOps

In der Regel besteht DevSecOps aus vier Bereichen – und in all diesen Bereichen gibt es neue Verantwortlichkeiten für Entwickler, die über ihren traditionellen Aufgabenbereich hinausgehen.

1. Der Einsatz von geeigneter Technologie: Gerade im IT- und Entwicklerbereich sind die verwendeten Tools die entscheidende Grundlage für Transformationsprozesse. Wenn die eingesetzten Lösungen die neuen Anforderungen nicht unterstützen, ist die Transformation schon von vornherein zum Scheitern verurteilt. Aus Entwicklerperspektive ist dabei entscheidend, dass Anwendungen möglichst sicher entwickelt und sicher eingesetzt werden können. In der Vergangenheit war der Code selbst das ausschlaggebende Kriterium. Doch im Rahmen von DevSecOps sollten auch andere Aspekte stärker berücksichtigt werden, etwa Code-Abhängigkeiten, die Infrastruktur und auch eventuelle Herausforderungen bei Lösungen von externen Anbietern. Und das ist noch nicht alles: Auch Aspekte wie Benutzeridentitäten, relevante Richtlinien und der Umgang mit auftretenden Problemen sollten bei DevSecOps mitgedacht werden. Und sogar solche Unternehmensbereiche wie Lizenzen- und Datenmanagement gehören zu DevSecOps.

2. Die sichere und einheitliche Bereitstellung von Anwendungen: Dafür benötigen die Teams geeignete Lösungen, die sich nahtlos in die Entwicklungspipeline integrieren lassen. Entwicklern geht es wie Menschen in anderen Berufen auch: Sie möchten möglichst effizient optimale Ergebnisse erzielen. Und das gilt in ganz besonderem Maße für verwendete Tools. Diese sollten umfassend integrierbar sein, und die Arbeit erleichtern – und nicht etwa komplizierter gestalten. Genau aus diesem Grund ist auch eine möglichst umfassende Automatisierung der Arbeitsabläufe so wichtig. DevSecOps ist ein sehr vielschichtiger Ansatz, der mit automatisierten Prozessen besser zu bewältigen ist. Und auch ein „Ausmisten“ ist empfehlenswert: Welche unserer eingesetzten Technologie können wir automatisieren, was können wir vereinfachen – und was brauchen wir vielleicht auch gar nicht mehr? Diese Fragen sollten sich Unternehmen dringend stellen. Denn gerade in der Softwareentwicklung gilt: Weniger ist mehr. Je weniger (aber dafür effizientere) Lösungen eingesetzt werden, desto weniger Schritte sind auch im Entwicklungsprozess nötig – und die Software kann schneller auf den Markt gebracht werden. Ein Beispiel für eine solch umfassende Lösung ist die Snyk Plattform.

3. Effiziente Prozesse für mehr Sicherheit: DevSecOps verändert die Arbeitsweise tiefgreifend, und erfordert deshalb auch neue Richtlinien und neue Prozesse – immer mit dem Ziel der geteilten und gemeinsamen Verantwortung.

Ganz konkret sollten in diesem Rahmen Gating-Modelle überprüft und nach Möglichkeit ganz beseitigt werden. Herkömmliche Sicherheitsstrategien basieren oft auf definierten Projektabschnitten bzw. Meilensteinen. Wenn ein Problem auftritt, wird das Projekt dann oft an diesen Punkten ganz gestoppt, bis eine Lösung gefunden ist. Dies führt aber zu langwierigen Feedback-Schleifen, verursacht Verzögerungen und verstärkt auch das Silo-Denken zwischen den Teams. Deshalb sollte Gating vom Konzept der gegenseitigen Verantwortung abgelöst werden.

Um DevSecOps erfolgreich zu steuern, sind auch umfassende Erfolgsmessungen sinnvoll. Schließlich müssen sich gerade neue Ansätze immer erst im Unternehmen beweisen, und die Verantwortlichen wollen konkrete Erfolge sehen. Ein guter Startpunkt wäre etwa, relevante Daten für bestehende und behobene Schwachstellen zu erheben. Weitere relevante Aspekte sind das Sicherheitsmanagement, das Bedrohungs- und Risikomanagement – aber auch die generelle Einhaltung von Bestimmungen oder auch das Supplier-Management.

Während die drei Säulen Technologie, Anwendungsbereitstellung und Mitarbeiterunterstützung eng miteinander verwoben sind, ermöglicht eine klare Steuerung einen umfassenden Überblick über alle relevanten Aspekte.

4. Unterstützung der Mitarbeiter – die vierte und wichtigste Säule. Viele Entwickler wollen aktiv und von sich aus mehr Verantwortung für die Anwendungssicherheit übernehmen – und genau das ermöglicht ihnen DevSecOps. Durch die Umstrukturierung und die stärkere Verzahnung von DevOps- und Sicherheitsteams wird das Thema Sicherheit zunehmend zu einer Selbstverständlichkeit, und wird nicht mehr als Hindernis betrachtet.

Eine Transformation hin zu DevSecOps benötigt Zeit und einen Kulturwandel. Eine solche langfristige Investition sollte deshalb nicht von Beginn an schon nur auf ein Endergebnis ausgerichtet sein. DevSecOps ist vielmehr ein kontinuierlicher Prozess – und deshalb sollten auch Teilerfolge gewürdigt werden. So kann dieses neue Konzept erfolgreich im Unternehmen verankert werden.

Über den Autor: Patrick Dubois ist Director of Market Strategy bei Snyk. Auf der Agile 2008 in Toronto stellte er erstmals Konzepte einer agilen Infrastruktur vor. 2009 organisierte er daraufhin die ersten DevOpsDays. Seitdem fördert er den Begriff „DevOps“/ „DevSecOps“, bringt dadurch die verschiedenen Bereiche näher zusammen und zeigt, wie sie sich gegenseitig unterstützen können.

(ID:47800641)