DevSecOps Community Survey 2019 von Sonatype

Security-Automatisierung in der Software Supply Chain

| Redakteur: Stephan Augsten

Fast die Hälfte aller von Sonatype Befragten gab im Rahmen der DevSecOps-Studie an, mindestens mehrmals die Woche ein Deployment anzustoßen.
Fast die Hälfte aller von Sonatype Befragten gab im Rahmen der DevSecOps-Studie an, mindestens mehrmals die Woche ein Deployment anzustoßen. (Bild: Sonatype)

Welche Rolle spielt Sicherheit in der Automatisierung der Software-Lieferkette? Und welche DevOps- sowie DevSecOps-Praktiken haben sich in den Unternehmen bereits etabliert? Aufschlüsse darüber liefert eine Sonatype-Umfrage in der DevSecOps Community.

Für die sechste jährliche DevSecOps Community-Umfrage hat Sonatype, Experte für Software-Supply-Chain-Automatisierung, über 5.500 IT-Experten befragt. An der Erarbeitung der DevOps-Studie waren CloudBees, Carnegie Mellon's Software Engineering Institute, Signal Sciences, 9th Bit und Twistlock beteiligt.

Hasan Yasar, Technical Manager und Adjunct Faculty Member des Carnegie Mellon‘s Software Engineering Institute, rät Unternehmen dazu, auf Sicherheitsverletzungen innerhalb des Application Lifecycle vorbereitet zu sein. Dementsprechend konzentriert sich die Auswertung der Umfrage insbesondere auf solche Unternehmen, die bereits hochleistungsfähigen DevSecOps-Programme umgesetzt haben.

Bei diesen Konzepten ist die Wahrscheinlichkeit, dass vollständig integrierte und automatisierte Sicherheitsverfahren in der gesamten DevOps-Pipeline zum Einsatz kommen, um 700 Prozent höher. Entsprechende Strategien zeichnen sich außerdem durch vermehrte Feedback-Schleifen aus, die es ermöglichen, Sicherheitsprobleme direkt aus den Tools heraus zu identifizieren.

Die Hälfte der Befragten mit DevOps-Programmen erstellen und pflegen außerdem eine vollständige Software-Stückliste. Bei den Umfrageteilnehmern ohne DevOps-Verfahren bestätigt dies nur jeder Fünfte. Knapp ein Viertel aller Befragten vermuteten oder bestätigten, dass in ihrem Unternehmen eingesetzte Open-Source-Komponenten für mindestens eine Sicherheitslücke verantwortlich waren.

Um darauf reagieren zu können, haben 62 Prozent der Befragten mit ausgereiften DevSecOps-Programmen eine Open-Source-Governance-Richtlinie eingeführt, die mithilfe von Automatisierung eingehalten wird. Bei den Befragten ohne DevOps-Strategie traf dies auf jeden Vierten zu. Ähnlich groß ist die Diskrepanz bei der automatisierten Schwachstellen-Erkennung im Container-Umfeld: 51 Prozent der Befragten mit DevSecOps-Hintergrund setzen entsprechende Lösungen ein, im Gegensatz zu nur 16 Prozent der Befragten ohne DevSecOps-Strategie.

Entwickler sind nach wie vor der Meinung, dass Sicherheit wichtig ist, sie diese jedoch nicht priorisieren können. Dies ist laut Sonatype das dritte Jahr in Folge, in dem 48 Prozent der Befragten eingestanden haben, dass Entwickler das Gefühl haben, dass sie keine Zeit dafür haben. Unternehmen mit ausgereiften DevSecOps-Strategien bieten ihren Entwicklern dreimal häufiger Schulungen zur Anwendungssicherheit an, als Unternehmen ohne DevOps-Verfahren.

Die vollständige „DevSecOps Community Survey 2019“ von Sonatype finden Interessierte auf der Webseite des Software-Supply-Chain-Experten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45787114 / Softwareentwicklung)