Suchen

Application Security and DevOps Report 2016 So finden DevOps und Security zueinander

| Autor / Redakteur: Dirk Srocke / Florian Karlstetter

Ein Bild vertaner Chancen zeichnen Zahlen des jetzt von Hewlett Packard Enterprise (HPE) vorgestellten „Application Security and DevOps Report 2016“. Zugleich liefert der Bericht jedoch auch Empfehlungen für eine sichere Anwendungsentwicklung.

In den untersuchten Firmen komme auf 80 Entwickler lediglich ein Experte für Anwendungssicherheit.
In den untersuchten Firmen komme auf 80 Entwickler lediglich ein Experte für Anwendungssicherheit.
(Bild: HPE)

In der Realität müssen IT-Sicherheit und DevOps wohl noch zusammenfinden, denn: mit 99 Prozent glaubt zwar die überwältigende Mehrheit der für HPEs Bericht Befragten, dass sich mit DevOps die Anwendungssicherheit grundsätzlich verbessern lasse. Andererseits berichten neun von zehn Security-Mitarbeitern aber auch von organisatorischen Barrieren. Seit ihre Unternehmen DevOps einsetzen sei es demnach schwieriger geworden, Anwendungssicherheit zu integrieren.

Dem Report zufolge führen lediglich 20 Prozent der Befragten während der Entwicklung Anwendungssicherheitstests durch. 17 Prozent nutzen gar keine Lösungen, um eigene Anwendungen zu schützen; einige Entwickler kennen ihre Sicherheitsteams nicht einmal.

Entwicklern fehle es HPE zufolge an Sicherheitsbewusstsein und -trainings. Anwendungssicherheitsexperten seien zudem Mangelware; in den untersuchten Firmen komme auf 80 Entwickler lediglich ein Anwendungssicherheitsexperte.

Um die Integration von Security- und DevOps-Teams voranzubringen gibt der Report folgende Empfehlungen:

  • Die Verantwortung für Security muss von mehreren Organisationen gemeinsam getragen werden. Security muss in jede Phase des Entwicklungsprozesses eingebettet sein, unterstützt durch das Management und entsprechende Zielvorgaben. Diese sollten sich auf Mean-Time-To-Triage (MTTT), Mean-Time-To-Fix (MTTF) sowie Programm-Compliance konzentrieren.
  • Der Mangel an Security-Bewusstsein und -Kompetenz kann überwunden werden, wenn man es Entwicklern einfach macht, sichere Entwicklung einzuüben. Firmen sollten Security-Werkzeuge, wie HPE Fortify Security Assistant, in das Entwicklungsökosystem integrieren. Damit können Entwickler, während sie ihre Codes schreiben, Schwachstellen in Echtzeit finden und beseitigen. Das macht sichere Entwicklung einfach und effizient - und bildet den Entwickler währenddessen in sicherer Programmierung aus.
  • Firmen sollten automatisierte Lösungen für Anwendungssicherheit einsetzen, die über Analytics-Funktionen verfügen - etwa HPE Fortify Scan Analytics, das mit maschinellem Lernen arbeitet. So können sie die Prüfung der Anwendungssicherheits-Tests automatisieren und ermöglichen ihren Sicherheitsexperten, sich nur auf die größten Risiken zu konzentrieren. Dadurch wird die Zahl der Sicherheitsrisiken reduziert, die manuell untersucht werden müssen.

(ID:44373772)