:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/66/186655e9134fe3b945da166b7feb7135/0111465990.jpeg "Ziel sollte bei B2B-Anwendungen sein, dass die User Experience genauso überzeugt wie bei B2C-Apps. (© BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/c7/97c7a05ac5a646694120d027dcc042fa/0111573077.jpeg "Dank einiger Tools kann jeder selbst testen, ob die eigene Website auch wirklich DSGVO-konform ist. (Bild: © – fotohansel – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/d7/ddd7f2c4859b85a8b1688f38e3092085/0111289633.jpeg "Code-Fragmente machen das Programmieren deutlich effizienter. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/fe/ad/fead485d5a58bf88def0f18c26dd44f5/0110853381.jpeg "Neben gewissen Hard und Soft Skills ist es wichtig, dass Developer ihre eigene Nische finden. (Bild: <a href=https://www.pexels.com/@punttim/>Tim Gouw</a>)")
:quality(80)/p7i.vogel.de/wcms/08/c5/08c570a57a8bcb6c8de7662e3ea3ecaf/0112066693.jpeg "Das Open-Source-Projekt Git 2.41 umfasst neue Funktionen und Fehlerkorrekturen von über 95 Mitwirkenden. (Bild: Git)")
:quality(80)/p7i.vogel.de/wcms/9e/fa/9efa0cc7438c341e53e44ab403510441/0111640567.jpeg "Der Open-Source-Scanner Trivy lässt sich unter anderem per CLI aufrufen und unterstützt nun auch die Kubernetes-Benchmarks des CIS. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/22/37/2237e6f7da0afd0bc9660071e5772dbb/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/89/2e899f48fe0ae3adc502ac74b23b81ee/0111867208.jpeg "Als Teil der Backstage.io-Community stellt Red Hat die eigens für den Developer Hub entwickelten Plug-ins für alle bereit. (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/b8/bf/b8bfcf221961042a9d80a661969868af/0111108621.jpeg "Der Abbau von technischen Schulden bindet Ressourcen, die für aktuelle Projekte dringend benötigt werden. (Bild: © – profit_image – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/61/3e61a6ad22070f1d8239744aa90462ad/0111352868.jpeg "Der sogenannte „Renovate Bot“ aktualisiert nicht selbst, sondern stellt Merge-Requests an das Development Team. (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/a1/2b/a12b814d8d4e1d5ae4d9817d12f5a2d5/0110227353.jpeg "BPMN ist ein intuitives Tool, das sich zu einem Standardverfahren für die Visualisierung von Geschäftsprozess-Workflows entwickelt hat. (© NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/35/403577de25d85c367070cfa293d57e17/0110619848.jpeg "Deno soll gegenüber Node.js einige Vorteile bergen, darunter den der Schnelligkeit. (Bild: Deno)")
:quality(80)/p7i.vogel.de/wcms/64/e5/64e5bb62907eb2ef143867915a18f8c1/0112124486.jpeg "MariaDB hat SkySQL aktualisiert und unter anderem eine überarbeitete Benutzeroberfläche eingeführt. (Bild: MariaDB)")
:quality(80)/p7i.vogel.de/wcms/40/18/40184bac910298fe72a917898cd3721d/0111883486.jpeg "Warum die Programmiersprache Java so erfolgreich ist, verrät ein genauer Blick auf die Historie. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/52/01/5201560a889ec559b10fd1fa267d3e42/0112103983.jpeg "Das „monday dev“-Toolkit erweitert die Work-OS-Plattform um Tools für agiles Arbeiten. (Bild: Monday.com)")
:quality(80)/p7i.vogel.de/wcms/d7/5d/d75dd4e7e5614676caa077f8959c7931/0111672406.jpeg "Typischer ereignisgesteuerter IT-Automatisierungsprozess (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/47/95/47956b35ff608be7a8bbfe6bdc0522de/0111105620.jpeg "Laut einer aktuellen Progress-Studie bereiten Datenverzerrungen deutschen Unternehmen immer noch Kopfzerbrechen. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/50/1e/501e67c0fb83d75fc4e0959b137e349b/0111403157.jpeg "Large Language Models verstehen natürliche Sprache, können übersetzen, auf Basis ihrer Daten neuen Text generieren und vieles mehr. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/19/31/1931878346987d5f61c5ed1b967599ae/0104711006.jpeg "Datenstrukturen werden in der Regel auf die Verarbeitung durch Algorithmen hin optimiert. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/67/e96797cf34887ed47068092a4289a884/0111209876.jpeg "Effizienten Code zu schreiben, ist eine große Herausforderung, der sich etliche Unternehmen gerade stellen. (Bild: <a href=https://pixabay.com/de/users/insspirito-1851261/>Garik Barseghyan</a>)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
DevSecOps für mehr Produktivität IT-Sicherheit vs. Agilität
DevOps- und IT-Security-Teams scheinen inkompatibel zu sein: Die einen wollen mehr Agilität in der Softwareentwicklung, die anderen müssen die Integrität und Sicherheit der bereitgestellten Applikationen gewährleisten. Wie also bringt man die beiden Gruppen zusammen?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/7e/627e1ceac041f/fis-logo.png "fis-logo (FIS)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
Dass DevOps- und IT-Sicherheitsteams oft Schwierigkeiten haben, ihre Abteilungen aufeinander abzustimmen, ist nichts Neues. Zudem müssen sie ein kohärentes Gleichgewicht zwischen der Sicherheit eines Unternehmens und der Entwicklung neuer Anwendungen wahren, um das Interesse der Kunden aufrechtzuerhalten.
Sicherheitsprozesse sind dafür unabdingbar. Dennoch werden sie von DevOps-Teams als umständlich empfunden, da sie die Agilität blockieren, effizient und schnell neue Applikationen und Produkte einzuführen. Umgekehrt sind IT-Sicherheitsteams der Meinung, dass bei ihren DevOps-Kollegen nur zu oft die Sicherheit zugunsten von Innovation und Umsatz auf der Strecke bleibt.
Selbst wenn beide Teams die Absichten des anderen respektieren, kann jede Unstimmigkeit zu Verzögerungen in Prozessen führen. DevOps sind flexibler und agiler, sie haben mehr Spielraum, was ihr Handeln angeht, da sie ein wichtiger Bestandteil der heutigen Softwareentwicklung sind. Sie können meistens auch selbst entschieden, ob sie die IT-Sicherheit involvieren.
Daraus entstand der Mythos, dass DevOps-Teams das Thema Sicherheit ignorieren. Tatsächlich wollen Entwickler, dass ihre Apps und die Umgebung, in der sie arbeiten, sicher sind. Gleichzeitig soll Sicherheit für eine schnelle Bereitstellung neuer Produkte und Softwarefunktionen kein Hemmnis darstellen.
So stellt sich also die Frage, wie DevOps-Teams – eine der wichtigsten Ressourcen in vielen modernen Unternehmen – Sicherheit gewährleisten können, ohne dass die Agilität auf der Strecke bleibt. Kann die Integration von DevOps und Sicherheit so erfolgen, dass Spannungen abgebaut und die Zusammenarbeit gefördert werden, während gleichzeitig Sicherheit und Agilität optimiert werden? Der Schlüssel ist die Automatisierung.
Abstimmung durch Automatisierung
Wegen der offensichtlichen finanziellen Folgen und Reputationsrisiken bei einem Sicherheitsvorfall konzentrieren sich Führungskräfte mittlerweile zunehmend auf die IT-Sicherheit. Daher sollten DevOps-Teams klar definieren, wie sie ihre Projekte und Produktionsumgebungen schützen und absichern. Durch die Automatisierung der Sicherheit im Rahmen der CI/CD-Prozesse können DevOps-Teams die Sicherheitsrichtlinien des Unternehmens problemlos einhalten. Dieser Prozess kann bedenkenlos weiterlaufen und den Aufwand für die IT-Sicherheitsteams minimieren.
Richtlinienänderungen und -aktivitäten werden immer weiter automatisiert, so kann die Fehlerhäufigkeit erheblich reduziert werden. Obwohl die Automatisierungslösung im Hintergrund läuft, kann sie jederzeit verwendet werden. Ein Einblick in die geschäftskritischen Daten wie Schwachstellen, Compliance-Anforderungen, Sicherheitsrichtlinien und Netzwerkkonnektivität ist stets möglich.
Im täglichen Betrieb und in der Kommunikation sind DevOps-Teams bereits mit automatisierten Tools vertraut. Dem Wechsel zu einer Sicherheitslösung, die in ihre bestehenden Prozesse integriert werden kann, steht also nichts im Wege.
Automatisierung spielt für zuverlässige, effektive und vernetzte „DevSecOps“-Teams eine tragende Rolle. Denn mit ihr wird die sichere Option auch zur einfachen Option. Sie kombiniert die bisherige Verwendung automatisierter Tools von DevOps, die für die fortlaufenden, pünktlichen und budgetgerechten Implementierungen verwendet werden mit dem Fokus auf Sicherheit, der menschliche Fehler reduzieren und die Sichtbarkeit potenzieller Schwachstellen gewährleisten soll.
Erfolgreiche Integration
DevOps steht und fällt mit Zusammenarbeit und gemeinsamer Verantwortung. Um Sicherheit erfolgreich in den DevOps-Prozess zu integrieren, müssen Sicherheitsteams und Entwickler jedoch zusammenarbeiten und eine gemeinsame Verantwortung festlegen.
Unternehmen könnten beispielsweise in jedem Entwicklungsteam einen Sicherheitsbeauftragten festlegen. Diese Person fungiert als zentrales Bindeglied zwischen den beiden Teams – für eine verbesserte Kommunikation und den Aufbau eines ausgewogenen Prozesses, der die gegenseitigen Interessen berücksichtigt. Ein kontinuierlicher Wissensaustausch zwischen Entwicklungs- und Sicherheitsteams gewährleistet einen Reifegrad, mit dem Unternehmen Anwendungen und Services mit einer automatisierten Lösung absichern können.
Sicherheitsteams können dann damit beginnen, Richtlinien zu definieren, mit denen Entwicklungsteams CD durchführen als auch Sicherheits- und Compliance-Richtlinien einhalten können. Das ist für beide Teams von entscheidender Bedeutung: Denn diese neue Arbeitsweise bedeutet, dass Entwickler den Sicherheitsstatus bei jedem Schritt in der CI/CD-Pipeline testen und gegebenenfalls korrigierend eingreifen können. Sicherheitsteams können wiederum Sicherheit und Compliance während des gesamten Entwicklungsprozesses gewährleisten.
Zusammenarbeit wertschätzen
Zweifel daran, dass DevOps- und IT-Sicherheitsteams reibungslos miteinander arbeiten, sind dabei völlig unbegründet. Zwar stehen beide Teams unter gegenseitigem Einfluss, jedoch nicht wegen Konflikten, sondern geschäftlicher Anforderungen. Wenn beide Teams zusammenarbeiten, können sie sowohl ihre Ziele erreichen als auch ihren Teil zu einem sicheren, innovativen und rentablen Unternehmen beitragen.
Der erste Schritt dabei ist, zu erkennen, wie wichtig die Zusammenarbeit ist. Indem DevOps-Teams die Sicherheit akzeptieren und sich nicht weiter darum zu kümmern brauchen, können sie die Kontrolle über ihre Bedürfnisse im Zusammenhang mit den Prozessen der IT-Teams behalten. Anschließend kann eine automatisierte Sicherheitslösung bereitgestellt werden, um die Effizienz und die Ergebnisse beider Abteilungen – und damit des gesamten Unternehmens – zu optimieren. Es ist also an der Zeit, dass DevOps zu DevSecOps werden.
* Alexander Busshoff ist Solution Architect EMEA bei Tufin.
(ID:45974217)
:quality(80)/images.vogel.de/vogelonline/bdb/1931800/1931805/original.jpg "Je besser Security und DevOps verzahnt sind, desto schneller können Features bereitgestellt werden. (Alex – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1908800/1908808/original.jpg "Oliver Weise: „Der Einsatz technischer Hilfsmittel wie Container unterstützt die Transformation des Unternehmens und die praktische Umsetzung einer DevOps-Strategie.“ (Consol)")