Application Security and DevOps Report 2016

So finden DevOps und Security zueinander

| Autor / Redakteur: Dirk Srocke / Florian Karlstetter

In den untersuchten Firmen komme auf 80 Entwickler lediglich ein Experte für Anwendungssicherheit.
In den untersuchten Firmen komme auf 80 Entwickler lediglich ein Experte für Anwendungssicherheit. (Bild: HPE)

Ein Bild vertaner Chancen zeichnen Zahlen des jetzt von Hewlett Packard Enterprise (HPE) vorgestellten „Application Security and DevOps Report 2016“. Zugleich liefert der Bericht jedoch auch Empfehlungen für eine sichere Anwendungsentwicklung.

In der Realität müssen IT-Sicherheit und DevOps wohl noch zusammenfinden, denn: mit 99 Prozent glaubt zwar die überwältigende Mehrheit der für HPEs Bericht Befragten, dass sich mit DevOps die Anwendungssicherheit grundsätzlich verbessern lasse. Andererseits berichten neun von zehn Security-Mitarbeitern aber auch von organisatorischen Barrieren. Seit ihre Unternehmen DevOps einsetzen sei es demnach schwieriger geworden, Anwendungssicherheit zu integrieren.

Dem Report zufolge führen lediglich 20 Prozent der Befragten während der Entwicklung Anwendungssicherheitstests durch. 17 Prozent nutzen gar keine Lösungen, um eigene Anwendungen zu schützen; einige Entwickler kennen ihre Sicherheitsteams nicht einmal.

Entwicklern fehle es HPE zufolge an Sicherheitsbewusstsein und -trainings. Anwendungssicherheitsexperten seien zudem Mangelware; in den untersuchten Firmen komme auf 80 Entwickler lediglich ein Anwendungssicherheitsexperte.

Um die Integration von Security- und DevOps-Teams voranzubringen gibt der Report folgende Empfehlungen:

  • Die Verantwortung für Security muss von mehreren Organisationen gemeinsam getragen werden. Security muss in jede Phase des Entwicklungsprozesses eingebettet sein, unterstützt durch das Management und entsprechende Zielvorgaben. Diese sollten sich auf Mean-Time-To-Triage (MTTT), Mean-Time-To-Fix (MTTF) sowie Programm-Compliance konzentrieren.
  • Der Mangel an Security-Bewusstsein und -Kompetenz kann überwunden werden, wenn man es Entwicklern einfach macht, sichere Entwicklung einzuüben. Firmen sollten Security-Werkzeuge, wie HPE Fortify Security Assistant, in das Entwicklungsökosystem integrieren. Damit können Entwickler, während sie ihre Codes schreiben, Schwachstellen in Echtzeit finden und beseitigen. Das macht sichere Entwicklung einfach und effizient - und bildet den Entwickler währenddessen in sicherer Programmierung aus.
  • Firmen sollten automatisierte Lösungen für Anwendungssicherheit einsetzen, die über Analytics-Funktionen verfügen - etwa HPE Fortify Scan Analytics, das mit maschinellem Lernen arbeitet. So können sie die Prüfung der Anwendungssicherheits-Tests automatisieren und ermöglichen ihren Sicherheitsexperten, sich nur auf die größten Risiken zu konzentrieren. Dadurch wird die Zahl der Sicherheitsrisiken reduziert, die manuell untersucht werden müssen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44373772 / Softwareentwicklung)