:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/7e/5b/7e5b4bed22568661f357f4a0dcd9a739/0114219395.jpeg "Das Ergebnis ist ein schmucker Blindtext-Generator per Shortcode, der praktisch aber wenig sinnvoll ist. (Bild: Rentrop)")
:quality(80)/p7i.vogel.de/wcms/0a/96/0a96a5466d57862cf0bc9c8f96ec187e/0114288251.jpeg "In der EMEA-Region sind Software-Schwachstellen offenbar häufiger und kritischer als in anderen Regionen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/63/d2/63d2f4e43c55e2140ec3bd9b96d19d5c/0114247757.jpeg "Zumindest in der jetzigen Form wird künstliche Intelligenz keine Jobs vernichten, sondern vielmehr ergänzen. (Bild: <a href=https://pixabay.com/de/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/2e/25/2e255287e57b5c4fd0deade8cd8e58b7/0114431948.jpeg "Wie weit Unternehmen bei der DevOps-Automatisierung vorangeschritten sind, hat Dynatrace genauer untersucht. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/4c/c64c6a3dba991b444c94fd5d178865c1/0114305357.jpeg "Die europäische Ausgabe der Progress ChefConf gastiert dieses Jahr in München. (Bild: Progress)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c30840530ef2f3d100c3ff2c5ef95/0114190148.jpeg "Immer mehr Developer haben angesichts des Stresses mit Burnout-Symptomen zu kämpfen, Clean Coding kann Abhilfe schaffen. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/6d/7b/6d7bd893f3034b22e9515d03f4a2bcf8/0114243416.jpeg "Lens AppIQ richtet sich laut Mirantis insbesondere an IT-Fachkräfte, die täglich mit Kubernetes arbeiten müssen. (Bild: Mirantis)")
:quality(80)/p7i.vogel.de/wcms/4a/2c/4a2c83570cf413a53acc88791127985b/0113689146.jpeg "UX- und UI-Design müssen sich auf immer neue Trends einstellen, es gibt allerdings auch einige festgeschriebene Grundregeln. (Bild: <a href=https://unsplash.com/@karlsolano>Karl Solano</a>)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/14/92/149229c3cdb94b319e006f52423c09db/0114168289.jpeg "Eine Kombination aus Rust und Python – oder Python und Rust – kann die Vorteiler beider Programmiersprachen vereinen. (Bild: <a href=https://pixabay.com/users/artdemarta-6006022/>Marta Bellés</a>)")
:quality(80)/p7i.vogel.de/wcms/45/93/45930907cccf8cb2ca621cb6555cf717/0114183021.jpeg "SQL-Datenbanken lassen sich unproblematisch hin zu PostgreSQL migrieren, Unternehmen sollten diesen Schritt trotzdem gut vorbereiten. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Interview mit Derek Weeks von Sonatype „Bis aufs Schreiben von Code kann alles automatisiert werden“
Sicherheit und agile Entwicklung in DevOps-Umgebungen scheinen auf den ersten Blick nicht zusammenzupassen. Genau hier soll DevSecOps ansetzen. Dev-Insider hat sich mit Derek Weeks, Vice President Sonatype, über die vermeintlichen Widersprüche unterhalten.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/7e/627e1ceac041f/fis-logo.png "fis-logo (FIS)"){kind=logo}
Dev-Insider: Herr Weeks, schon vor Jahren haben sich IT-Spezialisten für mehr Sicherheit in der Software-Entwicklung ausgesprochen. Ist diese Forderung mittlerweile in den Köpfen der Entwickler angekommen?
Derek Weeks: Natürlich ist sie das, denn eigentlich möchte niemand mangelhaften Code absichtlich verbauen. Es bedarf jedoch nicht nur des richtigen Mindsets, um Code zu generieren, der sicher ist. Das haben wir auch in unserer DevSecOps-Umfrage von 2017 gesehen. Darin konnten wir ermitteln, dass Entwicklungsteams sowie QA- und Tech-Teams innerhalb eines Zeitraumes von drei Jahren immer mehr automatisierte Sicherheit, in ihre Entwicklungs- und Testverfahren einbauen.
Wir konnten feststellen, dass sich von 2014 bis 2017 der Anteil der von uns untersuchten Unternehmen, die automatisierte Sicherheitsverfahren einsetzen, von 20 Prozent auf 43 Prozent erhöht hat. Im selben Zeitraum stieg der Anteil der befragten QA- und Test-Organisationen, die automatisierte Sicherheitstests integrieren von 21 Prozent auf 60 Prozent.
Es liegt also nahe, dass sich die Lücke zwischen dem Wissen, dass die Sicherheit in Software eingebaut werden muss und der Praxis, Sicherheit in Software-Entwicklung einzubauen, dadurch zu schließen beginnt, dass es besseren Zugang zu automatisierten Informationen gibt, die bessere Entscheidungen möglich machen.
Dev-Insider: Was glauben Sie, welchen Stellenwert hat die Sicherheit aktuell in der Software-Entwicklung auf Seiten der Anbieter und der Kunden?
Weeks: Nun, erst kürzlich sahen wir bei Equifax die Sicherheitslücke in einer Web-Applikation, wodurch Personendaten von 143 Millionen Menschen betroffen waren. Sicherheit ist also sowohl für die Anbieter von Software als auch für deren Kunden von entscheidender Bedeutung.
Im Juli dieses Jahres berichteten wir in unserem „2017 State of the Software Supply Chain Report“ über eine Gruppe von Sicherheitsexperten, die in Herzschrittmachern über 8.000 bekannte Sicherheitslücken gefunden hatten. Wenn personenbezogene Daten gestohlen werden, ist das höchst unangenehm. Aber wenn es unmittelbar um die Gesundheit, das Leben und den Tod der Patienten geht, also wo Bits und Bytes auf Fleisch und Blut der Verbraucher treffen, erhöht sich die Bedeutung des Ganzen geradezu dramatisch. Wir können keine Software mit bekannten Sicherheitslücken entwickeln, wenn Menschenleben auf dem Spiel stehen.
:quality(80)/images.vogel.de/vogelonline/bdb/1203200/1203241/original.jpg "Klassische Ansätze der Software-Entwicklung hinken bei der Applikationssicherheit noch hinterher. (Sonatype)")
Sonatype-Studie zur Applikationssicherheit
DevSecOps-Automatisierung hilft Development-Teams
Dev-Insider: Wenn wir also auf die zunehmende Einführung und Umsetzung von DevOps-Verfahren blicken, wie denken Sie haben sich Sicherheitskonzepte und der Stellenwert der Sicherheit innerhalb des Software-Entwicklungszyklus geändert?
Weeks: Innerhalb der vergangenen drei Jahre gab es eine massive Veränderung dahingehend, wie Sicherheits- und DevOps-Verfahren den Entwicklungszyklus verändern. Also, wenn ich beispielsweise die Heartbleed-Sicherheitslücke betrachte, die vor über drei Jahren publik gemacht wurde, glich die Reaktion auf die Bekanntgabe dieser Schwachstelle einer Schnitzeljagd. Unternehmen wussten nicht, ob sie diese besonders anfällige Komponente in ihrer Infrastruktur einsetzten. Und bei einigen mir bekannten Unternehmen dauerte es sechs bis acht Wochen, um herauszufinden, ob sie diese gefährdete Komponente benutzten, bevor sie überhaupt anfingen, dieses spezielle Sicherheitsloch in ihrer Umgebung zu stopfen.
Erst kürzlich wurde wieder eine kritische Sicherheitslücke in Struts2 bekannt. Dabei konnte Unternehmen wie Apple beobachten, deren Online-Entwickler-Plattform vermutlich von der Struts2-Schwachstelle betroffen war. Es dauerte allerdings nur ein paar Stunden, bis man diese spezielle Sicherheitslücke in der Entwicklungsumgebung behoben hatte.
Ich habe einen Freund, der bei einer der größten Banken in den USA arbeitet und auf meine Frage „Hey, wisst ihr über diese neue Struts-Sicherheitslücke, die bekannt wurde, Bescheid?“ sagte er, „Ja, wir sind uns dessen bewusst. Wir haben sichergestellt, dass keiner unserer Systeme in unserem Hauptsitz diese Sicherheitslücke aufwies. Und wir haben auch alle unseren großen Filialen überprüft, um uns zu vergewissern, dass keine von dieser anfälligen Open-Source-Komponente betroffen ist.“
Dies geschah nur wenige Stunden nach Bekanntwerden. Also von der Zeit, in der wir sechs bis acht Wochen brauchten, nur um festzustellen, ob eine anfällige Open-Source-Komponente in der Infrastruktur existiert, bis zu der Zeit, in der Unternehmen binnen Minuten oder Stunden reagieren, gab es aus meiner Sicht eine gewaltige Veränderung. Allerdings hat sich dieser Wandel noch nicht über die gesamte Branche verbreitet. Führende Unternehmen haben jedoch den Übergang von Wochen zu Minuten gemeistert.
Dev-Insider: Welchen Stellenwert sollte Sicherheit Ihrer Meinung nach genießen?
Weeks: Sicherheit ist kein zeitlich begrenztes Anliegen. Sie muss persistent sein. Und wir müssen die Sicherheit ständig mit einem wachsamen Auge betrachten. Unternehmen müssen den Wandel von einem reaktiven „Oh mein Gott, da ist eine Sicherheitslücke. Wir müssen sehen, ob wir betroffen sind,“ oder „Wir haben ein Sicherheitsproblem und müssen reagieren, um unsere Systeme zu reparieren,“ zu einem proaktiven Verhalten schaffen, in dem sie Sicherheit in ihre Software und Infrastruktur einbauen. Und zwar nicht nur so früh wie möglich im Entwicklungszyklus, sondern konsequent und ohne Unterbrechung innerhalb der gesamten Entwicklungs- sowie Produktions-Software-Umgebung.
Dev-Insider: Ist es einfacher für ein Unternehmen, bei der Automatisierung von Sicherheitsverfahren quasi bei Null anzufangen? Was würden Sie einem alteingesessenen Unternehmen mit einem klassischen Software-Entwicklungszyklus empfehlen, das sich bezüglich des Wandels unsicher ist?
Weeks: Diejenigen, die sich nicht schneller bewegen und innovativer werden, werden von denen, die sich schneller bewegen und die innovativer sind, überholt. Ich denke, am ehesten sollte man auf Technologie-Teams setzen, die kontinuierlich innovieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1251700/1251747/original.jpg "Sicherheit kann hinderlich sein, aber auch als Wegbereiter verstanden werden. (Tommy Lisbin - Unsplash.com)")
Sichere Anwendungsentwicklung
Security – ein Bremsklotz für DevOps?
Dev-Insider: Welche Schritte und Prozesse in der Software-Entwicklung lassen sich automatisieren - und in welchen Fällen ist das auch tatsächlich sinnvoll? Und woran lässt sich der Wert dessen so früh wie möglich erkennen?
Weeks: Ich denke, das ist eine sehr gute Frage. Wenn es um die Automatisierung geht, meine ich, dass mit Ausnahme des Schreibens von Code alles automatisiert werden kann. Sehen Sie, Builds, Integration, Unit-Tests, Performance-Tests, Sicherheitstests, Konfigurationen, Bereitstellungen, Rollbacks, all dies wird bereits automatisiert. Wenn es um die Automatisierung geht, glauben viele Leute intuitiv, Automatisierung mache die Dinge einfach schneller. Aber in Wirklichkeit macht sie vieles auch konsistenter und messbarer.
Also, wenn wir die Verfahren automatisieren, die wir in unserer Umgebung haben, können wir auch anfangen, sie zu messen. Es gibt ein altes Sprichwort, dass einer meiner College-Professoren benutzt hat: „Keeping score improves the score", was in etwa so viel bedeutet, das wenn man die Ergebnisse aufzeichnet, sich diese verbessern. In Bezug auf Ihre messbare Leistung oder Automatisierung, die gemessen werden kann, bedeutet dies, wenn Sie die die Ergebnisse aufzeichnen und wissen, wie gut Sie sind, können Sie Mittel und Wege finden, wie sie diese Ergebnisse sogar noch verbessern können.
Dev-Insider: Gilt das auch für Software-Anbieter jeder Größe? Welche Möglichkeiten haben kleinere Software-Schmieden?
Weeks: Wenn es um die Automatisierung innerhalb von DevOps-Verfahren geht, spielt die Größe eine wichtige Rolle. Sie ist wichtig in kleineren Unternehmen, die gerade dabei sind zu wachsen, in Start-ups oder Organisationen, in denen nur ein paar Leute an Ihren End-to-End-Business-Verfahren beteiligt sind. Es ist manchmal viel einfacher, diese neueren, schnelleren, eher automatisierten, konsistenteren Prozesse innerhalb nur einer Umgebung umzusetzen.
In größeren Unternehmen können diese Änderungen in kleinen Geschäftseinheiten erreicht werden. Aber sobald Sie anfangen, diese Verfahren über die gesamte Wertschöpfungskette zu erweitern, wird es manchmal schwierig für größere Unternehmen, diese Änderungen umzusetzen, weil sie Prozesse betreffen, die schon lange Zeit bestehen. Sie betreffen die Kultur oder eine Gruppe von Menschen, die es gewohnt ist, Dinge auf eine bestimmte Art und Weise zu tun, die bestimmte Methoden in ihre Organisationen übernommen haben.
Die Denkweise vieler Leute ist, dass es einfacher sei, so weiterzumachen wie bisher, als Veränderungen zu bewältigen. Also ist der Wandel für größere Unternehmen zwar erforderlich aber schwer, und ich glaube, das darf man nicht unterschätzen.
Aber wie gesagt, am ehesten sollte man auf Tech-Teams setzen, die kontinuierlich innovieren und die beständig dazulernen. Diejenigen, die überholt werden, werden von denen überholt, die gelernt haben, zu innovieren und zu automatisieren und deren Unternehmen sich schneller bewegen, um Mehrwerte für ihre Kunden schneller zu liefern.
* Derek Weeks ist Vice President bei Sonatype.
(ID:44892968)
:quality(80)/p7i.vogel.de/wcms/d0/d9/d0d94d97cb31dbfb853d70843e7df75a/0106608734.jpeg "Ganz ungewiss ist die Zukunft von DevOps nicht, einige Trends zeichnen sich bereits erkennbar ab. (Bild: Stefan Keller (KELLEPICS))")
:quality(80)/p7i.vogel.de/wcms/de/ea/deea60914e2986cc477c16fe4e80ca5a/0110052388.jpeg "Die Mitarbeiter spielen bei der Sicherheit in Cloud-nativen Umgebungen ebenso eine Rolle wie auch technische Maßnahmen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")