DevSecOps

So gewinnen Sicherheit und Performance

Viele Faktoren beeinflussen heute agil arbeitende Unternehmen: Das Spektrum reicht von gesetzlichen Anforderungen an Compliance-Richtlinien bis zum schnellen, flexiblen, sicheren und marktgerechten Erbringen von Services und Herstellen von Produkten.
aveniq-whitepaper-sicherheit-18-03-19

«DevSecOps» kann all diesen Faktoren gerecht werden. Doch was steckt hinter diesem Modell?

Der Begriff DevOps ist bereits bekannt, er besteht aus «Development» sowie «Operations» und führt die beiden Teams zusammen. Auf diese Weise entsteht zwischen den Fachgruppen ein gemeinsames Verständnis, Aufgaben werden automatisiert und der operative Aufwand minimiert. Man spricht in diesem Zusammenhang auch von «Infrastructure as Code», das vollumfängliche Transformieren von IT-Infrastruktur in Software. Bei diesem Modell fehlte bisher allerdings das Thema Sicherheit. Eine Schwachstelle, die grosse Risiken birgt, insbesondere aufgrund der zunehmenden Sicherheitsbedrohungen für Unternehmen durch digitale Angriffe.

‍Daher wurde das Modell DevSecOps erarbeitet, das neben «Development» und «Operations» nun auch «Security» umfasst. Hierbei geht es wie beim ursprünglichen DevOps-Modell darum, die Fachbereiche zusammenzuschliessen und zusätzlich auf «Security and Compliance as Code» zu setzen. Auch hier ist das Ziel, die manuellen Arbeitsweisen mithilfe von Software zu automatisieren und das Tempo der Prozesse zu steigern.

Was kann DevSecOps?

Die Automatisierung arbeitsaufwendiger Tätigkeiten ist ein Vorteil beim Zusammenschluss der drei Bereiche. Ein weiterer grosser Vorteil ist eine kontinuierlich hohe SoftwareQualität innerhalb kürzester Zeit durch den Aufbau sogenannter CI/CD-Pipelines (Continuous Integration/Continuous Delivery).

‍Methoden wie «Test-Driven Development (TDD)» und «Secure Coding» ermöglichen bereits im Entwicklungsprozess die Beseitigung zahlreicher Probleme. Als Grundlage für die sichere Software-Entwicklung stellt das Open Web Application Security Project (OWASP) das Secure Coding Cheat Sheet bereit. Infos gibt es unter www.owasp.org.

‍Auf das Team kommt es an

Bei der Zusammenstellung agiler DevSecOps-Teams, ist es wichtig, auf die Kompetenzen der einzelnen Personen zu achten. Die Menschen mit den besten Fähigkeiten nützen nur wenig, wenn sie ihr Know-how nicht oder nur begrenzt teilen. Daher muss im Team ein Wissensaustausch stattfinden. Shannon Lietz, die Begründerin des DevSecOps Ansatzes, versteht darunter Folgendes:

  • «A Mindset and Holistic Approach»: Eine Denkweise und ein ganzheitlicher Ansatz
  • «A Collection of Processes & Tools»: Eine Sammlung von Prozessen und Tools
  • «A Means of Building Security and Compliance into Software»: Ein Mittel zur Integration von Sicherheit und Compliance in die Software
  • «A Community-driven Effort»: Eine gemeinschaftsgetriebene Anstrengung
  • «A Strategy driven by Learning and Experiments»: Eine Strategie, getragen vom Lernen und Experimentieren

Diese fünf Punkte beschreiben die Sicht hinter dem Modell DevSecOps sehr gut und verdeutlichen, dass Software allein hierbei keine Lösung darstellt, sondern vielmehr auch die Denkweise und das Team tragende Rollen spielen. Transparenz und Wissensaustausch gehören zu allen agilen Arbeitsweisen dazu.

‍Fazit

Durch die Implementierung agiler Teams bedarf es oftmals eines starken Kulturwandels und dementsprechend auch menschlicher Herausforderungen. Warum den Schritt also zweimal machen und die Vorteile von DevSecOps gleich in einem implementieren, wenn die gleichen Herausforderungen auch beim DevOps-Modell gemacht werden müssen? Dieses Modell gleich im Entwicklungsprozess einfliessen zu lassen, hat zur Folge, dass man ein Standardverfahren bei der Software-Entwicklung implementieren kann, mit dem sich eine Ende-zu-Ende-Automatisierungsplattform für Development, Testing, Betrieb und Security entwickeln lässt. Durch den Austausch innerhalb der Entwickler-Community ist es überdies möglich, aus den Fehlern anderer zu lernen und die Aufgabenstellung nicht doppelt lösen zu müssen. Auch für den IT-Security Bereich ist es eine grundlegend neue Herangehensweise, die sich immer grösserer Beliebtheit erfreut.

Computerworld, März 2019

Fakten

  • Was «DevSecOps» können
  • Zusammenstellung von agilen Teams
  • Beliebt im Security-Bereich
  • DevSecOps-Ansatz in 5 Punkten