Sonatype-Studie zur Applikationssicherheit

DevSecOps-Automatisierung hilft Development-Teams

| Redakteur: Stephan Augsten

Klassische Ansätze der Software-Entwicklung hinken bei der Applikationssicherheit noch hinterher.
Klassische Ansätze der Software-Entwicklung hinken bei der Applikationssicherheit noch hinterher. (Bild: Sonatype)

Professionelle Software-Hersteller haben bereits weitreichend DevOps-Praktiken umgesetzt und lassen auch Sicherheitsaspekte vermehrt automatisiert in die Strategie mit einfließen. Zu diesem Schluss kommt eine Studie von Sonatype, einem Anbieter von Software-Supply-Chain-Automatisierung.

Im Rahmen der Online-Umfrage „2017 DevSecOps Community“ hat Sonatype die Meinung von weltweit 2.292 IT-Experten eingeholt. Zwei Drittel der Befragten haben der Studie zufolge DevOps umgesetzt und erachten ihre Praktiken als sehr ausgereift oder planen zumindest, diese zu verbessern.

Gestandene Development-Unternehmen binden das Thema Sicherheit automatisiert in ihre DevOps-Praktiken ein. Die „DevSecOps“-Strategie scheint sich also zunehmend durchzusetzen. Trotz dessen hätten viele IT-Organisationen nach wie vor mit Sicherheitslücken zu kämpfen, so Sonatype. Vergleiche man die Umfragewerte zwischen 2014 und 2017, so sei hier sogar ein Anstieg um nahezu 50 Prozent zu verzeichnen.

Knapp die Hälfte (47 Prozent) der klassisch aufgestellten Entwicklungs- und Operations-Teams empfindet Security-Teams oder -Richtlinien als Hemmschuh für ihre Prozesse. DevOps-Teams hingegen hätten laut Sonatype neue Wege entdeckt, wie sie die Sicherheit in der gleichen Geschwindigkeit integrieren, in der die Entwicklung voranschreitet. Nur 28 Prozent der bereits ausgereiften DevOps-Teams glauben, sie würden von Sicherheitsanforderungen ausgebremst.

Eine wichtige Erkenntnis aus der Umfrage: Die Applikationssicherheit spielt von Anfang an eine aktive Rolle im Development-Prozess. Die Entwickler übernehmen offenbar mehr Verantwortung für das Thema Sicherheit. So gaben 24 Prozent aller Befragten an, dass Sicherheit ein Hauptanliegen sei. Innerhalb der ausgereiften DevOps-Organisationen liegt dieser Anteil sogar bei 38 Prozent.

Bei der Security-Automatisierung sind DevOps-Teams ebenfalls weiter: 58 Prozent von ihnen haben ihre CI-Prozesse (Continuous Integration) entsprechend angepasst, bei allen Umfrageteilnehmern liegt der Wert bei 39 Prozent. Ein ähnliches Bild ergibt sich bei den Security-Analysen: 42 Prozent der DevOps-Vertreter prüfen die Sicherheit in jeder Phase des Software Delivery Lifecycles (SDLC), alle Befragten zusammen kommen auf einen Anteil von 27 Prozent.

85 Prozent der Befragten, die sehr ausgereifte DevOps-Praktiken umsetzen, haben eine Form von Training für Applikationssicherheit durchlaufen, um sie für sichere Coding-Verfahren zu sensibilisieren. Unter den Befragten mit wenig ausgereiften DevOps-Praktiken erhielten 30 Prozent keine solche Ausbildung.

88 Prozent aller Umfrageteilnehmer gaben an, dass Sicherheit eines der wichtigsten Anliegen bei der Bereitstellung von Containern sei. Jedoch nutzen lediglich 53 Prozent Sicherheitslösungen, um diesem Problem beizukommen. Wayne Jackson, CEO, Sonatype, unterstreicht: „DevOps ist keine Entschuldigung für eine schlechte Anwendungssicherheit; vielmehr ist es eine Gelegenheit, die Anwendungssicherheit besser zu machen, als je zuvor.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44585338 / Application Security)