Entwickler unterstützen, Risiken reduzieren 4 Leitlinien für schnelle, digitale Innovationen

Ein Gastbeitrag von Roman Borovits *

Wer einfach nur bestehende Funktionen digitalisiert, kann die Wettbewerbsfähigkeit nicht erhöhen. Für echten Mehrwert sind überzeugende digitale Innovationen notwendig. So müssen Unternehmen die Entwickler unterstützen, damit einzigartige Services entstehen – allerdings ohne die Risiken zu erhöhen. Dafür sollten sie vier Leitlinien beachten.

Anbieter zum Thema

Unternehmen sollten ihre Entwickler unterstützen und gleichzeitig Komplexität, Kosten und Sicherheitsrisiken begrenzen.
Unternehmen sollten ihre Entwickler unterstützen und gleichzeitig Komplexität, Kosten und Sicherheitsrisiken begrenzen.
(© deagreez - stock.adobe.com)

Unternehmen aller Größen und Branchen müssen Entwickler in die Lage versetzen, einzigartige digitale Dienste, mobile Anwendungen oder Online-Erlebnisse zu schaffen. Das erfordert Vertrauen, Autonomie und verteilte Entscheidungsfindung. Entwickler sollten ihre Tools auswählen sowie wichtige Design- und Service-Entscheidungen treffen können. Dies ist für schnelle, digitale Innovationen entscheidend.

Doch eine völlige Freigabe kann gefährlich sein. Denn Entwickler lieben Tools, die häufig Open Source sind. Aber allzu viele Tools führen zu Wildwuchs, bei dem drei oder vier Technologien die gleiche Aufgabe erfüllen. Die Architekturen werden dadurch erheblich komplexer und es entstehen zusätzliche Verwaltungskosten sowie Betriebs- und Sicherheitsrisiken, auch bei kostenlosen Open-Source-Tools.

Die möglichen Risiken

Grundsätzlich gilt: Je mehr Tools zum Einsatz kommen, desto mehr Zeit benötigen Infrastruktur- und Plattformteams für deren Wartung. Das Onboarding neuer Entwickler wird ebenfalls komplizierter und zeitaufwändiger, da jedes Tool seine eigene Benutzeroberfläche besitzt.

Komplexität erhöht auch die Wahrscheinlichkeit von Ausfallzeiten. Bei vielen Betriebsmodellen und Toolchains kann häufig ein Glied der Lieferkette überlastet werden. Ein Ausfall von Anwendungen birgt Risiken für den Ruf und die Finanzen. Denn unzufriedene Nutzer wechseln zu anderen Anbietern, wodurch Einnahmen verloren gehen.

Damit Unternehmen die Entwickler unterstützen und gleichzeitig Komplexität, Kosten und Sicherheitsrisiken begrenzen, gibt es vier wichtige Leitlinien:

1. Frühzeitig für Sicherheit sorgen

Entwickler wollen programmieren, um neue Funktionen bereitzustellen. Da sie häufig unter Zeitdruck stehen, geschieht dies manchmal ohne ausreichende Berücksichtigung der Security. Wer jedoch Sicherheitstests so früh wie möglich in den Softwareentwicklungszyklus integriert, erhöht die Akzeptanz dafür. Dies wird als „Shifting Left“ bezeichnet – also die Verschiebung nach links in der Zeitleiste.

Dadurch erhalten Entwickler auch mehr Verantwortung für die Implementierung von Sicherheit beim Schreiben des Codes. Dies gewährleisten Bewertungen von Bedrohungsmodellen, Code-Audits, Pen-Tests oder das Umsetzen von Sicherheitsrichtlinien über Kontrollen wie eine Web Application Firewall (WAF).

Durch „Shifting Left“ wird es für Entwickler auch einfacher und intuitiver, diese Aufgaben innerhalb ihrer bestehenden Arbeitsabläufe zu erledigen. Doch laut einer Umfrage des SANS Institute haben bislang nur 40 Prozent der Unternehmen ihre Sicherheitsbewertungen in Übereinstimmung mit den DevSecOps-Prinzipien nach links verlagert.

2. Standardisierte Open-Source-Tools

Viele Entwickler möchten vor allem Open-Source-Tools einsetzen, die zu ihrem Ethos und ihren Technologievorlieben passen. Mittlerweile verwenden die meisten Unternehmen Open Source – vor allem Linux, Docker und Kubernetes sowie Tausende weitere Tools.

Gemäß der Studie The State of Enterprise Open Source von Red Hat für das Jahr 2022 sagen 90 Prozent der IT-Führungskräfte, dass sie bereits unternehmensfähige Open-Source-Software nutzen. Allerdings gibt es heute eine riesige Auswahl an Lösungen. Daher müssen Unternehmen einen Tool-Wildwuchs verhindern. Dazu sollten sie eine Reihe von standardisierten Open-Source-Tools bereitstellen – natürlich unter Berücksichtigung der Wünsche und Ratschläge ihrer Entwickler.

3. Infrastruktur als Code bereitstellen

Die Verlagerung der Sicherheit nach links und die Nutzung von Open Source beruhen auf einer weiteren Best Practice: der Behandlung von Infrastruktur als Code. Dies umfasst die Bereitstellung des Codes als Software oder Services, die über APIs gesteuert werden.

Laut der Studie The State of Application Strategy 2021 von F5 haben 52 Prozent der Unternehmen bereits Infrastructure-as-Code, kurz IaC-Prozesse eingeführt. IaC bedeutet, dass die Infrastruktur je nach Bedarf hoch- und herunterskaliert werden kann. Die Nutzung der gesamten modernen Anwendungsinfrastruktur als Code überträgt die Verantwortung für die Konfiguration der Infrastruktur auf diejenigen, welche die Anwendung am besten kennen: die Entwickler und DevOps-Teams.

Dabei hat das Aufkommen von Containern die Art und Weise revolutioniert, wie Infrastruktur bereitgestellt werden kann. Dadurch können Entwickler und DevOps-Teams die für ihre App-Bereitstellungen am besten geeignete Infrastruktur einfach entwerfen und aufrufen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

4. Automatisierung durch Self-Services

Wenn Entwickler die drei oben genannten Leitlinien ohne Einschränkungen nutzen können, kann das jedoch zu Betriebsrisiken führen. Daher benötigen Unternehmen eine Self-Service-Infrastruktur, welche die Bereitstellung der benötigten Infrastruktur und Services erleichtert und die Komplexität bei gleichzeitiger Kostenkontrolle reduziert.

Die Studie State of Application Strategy 2021 von F5 zeigt, dass 65 Prozent der Unternehmen Automatisierung und Orchestrierung nutzen. Davon setzen 68 Prozent Automatisierung für die Bereiche Netzwerk und Sicherheit ein. Damit können DevOps-, NetOps-, SecOps- und Platform Ops-Teams die Bereitstellung der Infrastruktur für Entwickler durch Self-Service-Kataloge vereinfachen. Dies wird durch Container ermöglicht, die genehmigte Bereitstellungen auf „Golden Images“ beschränken, die sicher und effektiv für die Produktion sind.

Tatsächlich hat diese Kombination aus Self-Services und Golden Images auch mitgeholfen, dass Public Clouds so populär geworden sind. Sie fungieren als Self-Service-Portale für einen Katalog entwicklerfreundlicher Technologien, mit denen kleine Teams Anwendungen entwickeln und skalieren, die mit denen riesiger Unternehmen konkurrieren können. Dabei stellen Cloud-Anbieter jedoch nicht immer die sichersten Standardkonfigurationen bereit. Deshalb ist es wichtig, dass Unternehmen ihre eigenen Golden Images verwalten und sie so einrichten, dass sie ihre eigene Infrastruktur schützen.

Fazit

Roman Borovits.
Roman Borovits.
(Bild: F5)

Die vier Leitlinien treiben gemeinsam mit der Entwicklung anpassungsfähiger Anwendungen auf modernen Infrastrukturtechnologien wie Kubernetes die digitale Innovation voran. Wer Entwickler auf diese Weise unterstützt, kann schnell neue Vertriebskanäle schaffen oder neuartige Anwendungen und Infrastrukturen bereitstellen – auf sichere und Cloud-unabhängige Weise. Dies erhöht wirklich die Wettbewerbsfähigkeit.

* Roman Borovits ist Senior Solution Engineer bei F5.

(ID:48307478)