In einer Software-gesteuerten Welt spielt die Sicherheit von Anwendungen, Apps und Embedded Software eine große Rolle. Einer Veracode-Studie zufolge fehlen vielen Entwicklern allerdings die Skills, da diese auf dem formalen Bildungsweg eher schlecht als recht vermittelt würden.
Entwickler besitzen oftmals nicht die nötigen Kenntnisse und Fähigkeiten, um in der DevSecOps-Welt erfolgreich zu sein. Dies schließen Veracode und DevOps.com aus der gemeinsamen 2017 DevSecOps Global Skills Survey. Zwei Drittel der befragten DevOps-Fachkräfte finden es wichtig, dass Einsteiger in die IT-Branche DevSecOps-Skills besitzen.
Die Realität sieht aber offenbar so aus, dass die Kollegen der Studienteilnehmer nur wenig (55 Prozent) oder sogar gar nicht (knapp 30 Prozent) auf die Anforderungen vorbereitet sind, die mit der sicheren Auslieferung von Software im Rahmen von DevOps einhergehen. Gleichzeitig räumen viele Antwortgeber ein, zum Berufseinstieg selbst wenig über Cyber-Sicherheit gewusst zu haben.
70 Prozent vertreten die Einschätzung, im Rahmen ihrer Ausbildung weniger über Security gelernt zu haben, als sie in ihrer aktuellen Rolle im Unternehmen wissen müssen. Dies deckt sich mit der Aussage von knapp zwei Dritteln der Befragten, sich die meisten relevanten Fähigkeiten erst im Rahmen des Arbeitslebens angeeignet zu haben.
Sieben von zehn Studienteilnehmern kommen zu dem Schluss, dass Security-Fähigkeiten im Rahmen des Studiums oder der Ausbildung nicht ausreichend vermittelt werden. 40 Prozent der Befragten mit Personalverantwortung gaben an, dass DevOps-Fachleute, die zugleich über ausreichendes Wissen über Security-Tests verfügen, die am schwersten zu findenden Mitarbeiter sind.
Weiterbildungen und Trainings vonnöten
Sofern Unternehmen viel Wert das Sicherheitsverständnis legen, kommen sie somit kaum umhin, die Mitarbeiter weiterzubilden. Knapp die Hälfte der Umfrageteilnehmer hat seit ihrem Einstieg in die Berufswelt schon Trainings bekommen. Sieben von zehn Befragten gaben aber an, dass IT-Sicherheit bei den Schulungen zu kurz kommt. Drittanbieter-Trainings, entweder vor Ort oder in Form von E-Learnings, sind nach Ansicht von einem Drittel der Befragten ein effektiver Weiterbildungsweg, mit einem Anteil von vier Prozent erhalten aber nur wenige diese Möglichkeit.
Die von Veracode in Auftrag gegebene Studie wurde von DevOps.com durchgeführt. Weltweit beantworteten knapp 400 DevOps-Fachleute den Fragenkatalog. Mehr Informationen darüber, wie DevSecOps eine Brücke zwischen schneller und sicherer Software-Entwicklung schlagen kann, liefert Veracode in seinem Developer’s Guide to the DevSecOps Galaxy.
