:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/66/186655e9134fe3b945da166b7feb7135/0111465990.jpeg "Ziel sollte bei B2B-Anwendungen sein, dass die User Experience genauso überzeugt wie bei B2C-Apps. (© BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/c7/97c7a05ac5a646694120d027dcc042fa/0111573077.jpeg "Dank einiger Tools kann jeder selbst testen, ob die eigene Website auch wirklich DSGVO-konform ist. (Bild: © – fotohansel – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/d7/ddd7f2c4859b85a8b1688f38e3092085/0111289633.jpeg "Code-Fragmente machen das Programmieren deutlich effizienter. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/f8/3f/f83fb5a4d26dc22680f3e18abf76b22b/0112120630.jpeg "Über den Security Tab in der Jira Software Cloud lassen sich Sicherheitsprobleme schnell anzeigen, filtern, priorisieren und beheben. (Bild: Atlassian)")
Atlassian integriert populäre DevSecOps-Tools :quality(80)/p7i.vogel.de/wcms/fe/ad/fead485d5a58bf88def0f18c26dd44f5/0110853381.jpeg "Neben gewissen Hard und Soft Skills ist es wichtig, dass Developer ihre eigene Nische finden. (Bild: <a href=https://www.pexels.com/@punttim/>Tim Gouw</a>)")
:quality(80)/p7i.vogel.de/wcms/08/c5/08c570a57a8bcb6c8de7662e3ea3ecaf/0112066693.jpeg "Das Open-Source-Projekt Git 2.41 umfasst neue Funktionen und Fehlerkorrekturen von über 95 Mitwirkenden. (Bild: Git)")
:quality(80)/p7i.vogel.de/wcms/22/37/2237e6f7da0afd0bc9660071e5772dbb/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/89/2e899f48fe0ae3adc502ac74b23b81ee/0111867208.jpeg "Als Teil der Backstage.io-Community stellt Red Hat die eigens für den Developer Hub entwickelten Plug-ins für alle bereit. (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/9e/fa/9efa0cc7438c341e53e44ab403510441/0111640567.jpeg "Der Open-Source-Scanner Trivy lässt sich unter anderem per CLI aufrufen und unterstützt nun auch die Kubernetes-Benchmarks des CIS. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/b8/bf/b8bfcf221961042a9d80a661969868af/0111108621.jpeg "Der Abbau von technischen Schulden bindet Ressourcen, die für aktuelle Projekte dringend benötigt werden. (Bild: © – profit_image – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/61/3e61a6ad22070f1d8239744aa90462ad/0111352868.jpeg "Der sogenannte „Renovate Bot“ aktualisiert nicht selbst, sondern stellt Merge-Requests an das Development Team. (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/a1/2b/a12b814d8d4e1d5ae4d9817d12f5a2d5/0110227353.jpeg "BPMN ist ein intuitives Tool, das sich zu einem Standardverfahren für die Visualisierung von Geschäftsprozess-Workflows entwickelt hat. (© NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/4e/ee4e8297cfd46fc9c8c320f1eeec2684/0111409621.jpeg "Im Kern ist ein immutable System unveränderlich, im Zuge von Aktualisierungen wird es komplett neu ausgerollt. (Bild: <a href=https://unsplash.com/@shubzweb3>Shubham's Web3</a>)")
:quality(80)/p7i.vogel.de/wcms/40/35/403577de25d85c367070cfa293d57e17/0110619848.jpeg "Deno soll gegenüber Node.js einige Vorteile bergen, darunter den der Schnelligkeit. (Bild: Deno)")
:quality(80)/p7i.vogel.de/wcms/64/e5/64e5bb62907eb2ef143867915a18f8c1/0112124486.jpeg "MariaDB hat SkySQL aktualisiert und unter anderem eine überarbeitete Benutzeroberfläche eingeführt. (Bild: MariaDB)")
:quality(80)/p7i.vogel.de/wcms/52/01/5201560a889ec559b10fd1fa267d3e42/0112103983.jpeg "Das „monday dev“-Toolkit erweitert die Work-OS-Plattform um Tools für agiles Arbeiten. (Bild: Monday.com)")
:quality(80)/p7i.vogel.de/wcms/d7/5d/d75dd4e7e5614676caa077f8959c7931/0111672406.jpeg "Typischer ereignisgesteuerter IT-Automatisierungsprozess (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/47/95/47956b35ff608be7a8bbfe6bdc0522de/0111105620.jpeg "Laut einer aktuellen Progress-Studie bereiten Datenverzerrungen deutschen Unternehmen immer noch Kopfzerbrechen. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/50/1e/501e67c0fb83d75fc4e0959b137e349b/0111403157.jpeg "Large Language Models verstehen natürliche Sprache, können übersetzen, auf Basis ihrer Daten neuen Text generieren und vieles mehr. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/19/31/1931878346987d5f61c5ed1b967599ae/0104711006.jpeg "Datenstrukturen werden in der Regel auf die Verarbeitung durch Algorithmen hin optimiert. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
Auf dem Weg zu DevSecOps CISOs müssen Sicherheitsaufgaben noch früher wahrnehmen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Beim DevSecOps-Ansatz sind Security-Funktionen gleich von Anfang an integraler Bestandteil des Entwicklungsprozesses und dürfen nicht erst am Ende um die Apps und Daten herumgebaut werden. Daraus können deutliche Steigerungen der Effizienz, wesentlich geringere Risiken und mehr Wissensaustausch entstehen.
Als Entwicklungen noch wesentlich mehr Zeit erforderten oder auch deren Updates ein- bzw. zweimal pro Jahr veröffentlicht wurden, war es vielleicht noch angemessen, die Sicherheitstests an das Ende eines Zyklus zu setzen. Dieser Sicherheitsansatz gestaltet sich heute als nicht mehr sehr praktikabel, da meist angestrebt wird, die Entwicklungszeit auf möglichst wenige Wochen zu verkürzen.
Hinzu kommt, dass Entwickler und Sicherheitsteams in der Vergangenheit häufig in unterschiedlichen Abteilungen bzw. Teams aktiv waren. Es dominierte folgendes Klischee: Für Entwickler sind Experten der IT-Security ganz versessen darauf, das schnelle Tempo von Software-Einführungen und -Aktualisierungen zu verlangsamen. Sicherheitsprofis sehen Entwickler wiederum als zu eifrig an, Code ohne ausreichende Berücksichtigung des Risikomanagements herauszugeben.
IT-Security ist keine Nebensache mehr
Mit dem DevSecOps-Ansatz soll letztlich auch in dieser Hinsicht eine Brücke zwischen den beiden Fraktionen geschlagen werden. Denn eine der Kernaufgaben von DevSecOps besteht darin, „nach links zu verschieben“! Dies bedeutet nichts anderes, dass Anforderungen der IT-Security, die möglicherweise erst später im Entwicklungsprozess oder „ganz rechts“ auf einer Zeitachse auftreten, möglichst früh in der Designphase gestellt werden. Darüber hinaus fördert die Verschiebung „nach links“ nicht nur den Wissensaustausch zum Thema IT-Security, sondern auch deren Integration in jeden Aspekt der Produktentwicklung und -bereitstellung.
Da die IT-Security-Teams mit dem DevSecOps-Ansatz ihre Sicherheitstests bereits in frühen Phasen der Entwicklung initiieren, lässt sich dadurch die Gesamtentwicklung deutlich beschleunigen. Dies hat den Vorteil, dass Sicherheitslücken wesentlich früher identifiziert werden können und im Nachgang keine wesentlichen und vor allem zeitkonsumierenden Änderungen im Hinblick auf die IT-Security mehr erforderlich sind. Damit ist die Notwendigkeit für Entwickler und alle im Prozess befindlichen Mitarbeiter, über grundlegende Sicherheitskompetenzen zu verfügen, unerlässlich geworden.
CISOs müssen DevSecOps forcieren
Wie jede größere Veränderung in der Technologieentwicklung muss auch der DevSecOps-Ansatz von einer hochrangigen Führungskraft vorangetrieben werden. Dafür qualifiziert sich typischerweise der CISO. Für die Implementierung von DevSecOps gibt es jedoch keine Patentlösung. Vielmehr müssen Führungskräfte wie der CISO die notwendigen Leitplanken setzen und den Teams die Freiheit geben, innerhalb dieser zu agieren.
Es empfiehlt sich, dass der CISO die Rahmenbedingungen für die Funktionsweise von Sicherheitstests festlegt und sicherstellt, dass die Entwickler über die richtigen Tools und Prozesse verfügen, um in diesen Rahmenbedingungen optimal zu arbeiten. In der Folge kann der CISO dann bestimmen, was sich in Bezug auf den zeitlichen Ablauf am besten eignet und welche Prozesse übernommen werden sollen.
Das DevSecOps-Modell
Konzeptionell basiert DevSecOps auf der Idee, dass Sicherheit ein integrierter Bestandteil jeder Phase des Lebenszyklus eines Produkts sein sollte und keine nachträgliche Pflichtübung. Vielmehr ist es eine deutlich sicherere Art der Entwicklung durch schnellere Release-Zyklen, optimierte Koordination und verbesserte Kommunikation. Folgende Merkmale charakterisieren DevSecOps im Hinblick auf eine veränderte Herangehensweise:
- Offene Zusammenarbeit an gemeinsamen Zielen: DevSecOps erstellt gemeinsame Erwartungen und Metriken zur Erfolgsmessung. Es richtet Sicherheitsarchitekten aus und konzentriert Aktivitäten basierend auf Geschäftsprioritäten.
- Sicherheit an der Quelle: Der Ansatz bietet Self-Service-Sicherheitsfunktionen, justiert Sicherheits-Leitplanken und ermöglicht es Teams, Ergebnisse zu überwachen und ein gezieltes Feedback zu geben. Er kann Schwachstellen früh im Entwicklungszyklus erkennen, wodurch die Notwendigkeit von Nacharbeiten kurz vor oder nach der Bereitstellung reduziert wird.
- Optimierung durch Automatisierung: Durch die Automatisierung wiederkehrender Aufgaben ermöglicht DevSecOps die Orchestrierung eines integrierten Prozessablaufs, die Einbettung präventiver Betriebskontrollen und die Erstellung fortlaufender Audit-Trails.
- Risikoorientierte Abläufe: Organisationen, die DevSecOps in ihre Entwicklungspipelines integrieren, können betriebliche Erkenntnisse und Bedrohungsinformationen nutzen, um den Prozessablauf, die Priorisierung und Empfehlungen zur Behebung voranzutreiben. Sie müssen sich nicht mehr nur auf Code-Scans verlassen und können beim Testen einen risikobasierteren Ansatz verfolgen.
- Proaktives Monitoring: Automatisierte, kontinuierliche Tests helfen dabei, Probleme zu erkennen, bevor sie zu Problemen werden. Entwickler können auch Protokollierung und Telemetrie nutzen, um Lernen und Innovation voranzutreiben.
- Automatisierte Betriebssicherheit: Da der Einblick in einige Aspekte der Betriebssicherheit eingeschränkt sein kann, lieferten Sicherheitsaudits nicht immer korrekte Ergebnisse. Security-as-Code bietet einen effektiveren Ansatz. Neue Techniken in der Containerisierung und der Automatisierung von Public-Cloud-Infrastrukturen ermöglichen es jetzt, im Betrieb, die Sicherheit und Compliance zuverlässig und mit weniger Aufwand zu prüfen.
- Betriebstechnik: Das Erkennen einer Bedrohung und das Ergreifen von Maßnahmen können wertvolle Stunden oder sogar Tage in Anspruch nehmen. In einer sicheren Infrastructure-as-Code-Umgebung in Containern oder öffentlichen Cloud-/Container-Umgebungen können Engineered-Response-Funktionen den Datenverkehr jedoch sofort umleiten, Knoten für eine spätere Inspektion einfrieren, IT-Operatoren benachrichtigen und neue Instanzen hochfahren. Alles völlig automatisch.
(ID:49469945)
:quality(80)/images.vogel.de/vogelonline/bdb/1905900/1905954/original.jpg "DevSecOps wurde konzipiert, damit in der agilen Entwicklung und Bereitstellung keine Bedrohungen oder Schwachstellen mehr auftauchen. (Murrstock - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1944900/1944962/original.jpg "Kubernetes birgt mit Blick auf die Sicherheit einige Besonderheiten. (shane - stock.adobe.com)")