Heather Peyton, Progress, über Entwickler und IT-Sicherheit „Nicht plötzlich für das Schreiben von Sicherheitsrichtlinien verantwortlich“

Das Gespräch führte Stephan Augsten

Welche Rolle spielen Developer künftig in der IT-Sicherheit? Heather Peyton von Progress erläutert im Interview, warum die Bedeutung von Compliance gestiegen ist, Entwickler von Policy-as-Code profitieren und der CISO heute wichtiger ist denn je.

Firmen zum Thema

„Policy-as-Code kann viele Nacharbeiten vermeiden, die entstehen, wenn sich Entwickler der Sicherheitsrichtlinien nicht bewusst sind.“
„Policy-as-Code kann viele Nacharbeiten vermeiden, die entstehen, wenn sich Entwickler der Sicherheitsrichtlinien nicht bewusst sind.“
(© sarayut_sy - stock.adobe.com)

Heather Peyton: „Tests, Berechtigungsmanagement und Patching werden nie enden und sich auch ständig weiterentwickeln und verändern.“
Heather Peyton: „Tests, Berechtigungsmanagement und Patching werden nie enden und sich auch ständig weiterentwickeln und verändern.“
(Bild: Progress)

Dev-Insider: Neben dem Shift-Left Testing stehen Compliance-Thematiken bei DevSecOps-Anbietern gerade ganz oben auf der Prioritätsliste, auch bei Progress. Warum ist das so?

Heather Peyton: Durch die Covid-19-Pandemie sind Unternehmen heute mehr denn je auf Technologie angewiesen und die Notwendigkeit, Innovationen zu liefern, war noch nie so groß wie heute. Sehr viele Mitarbeiter sind inzwischen dezentral tätig, Teams arbeiten verteilt.

Compliance gestaltet sich dadurch deutlich komplizierter. Unternehmen stehen vor der großen Herausforderung, ihren Mitarbeitern per Remote-Zugriff die Werkzeuge und Systeme zugänglich zu machen, die sie für ihre Tätigkeiten benötigen, und gleichzeitig die damit einhergehenden Risiken zu kontrollieren.

eBook DevSecOps
eBook „DevOps und Security“
(Bild: Dev-Insider)

E-Book zum Thema

Das eBook „DevOps und Security“ erläutert die Unterschiede von DevSecOps, SecDevOps und DevOpsSec und befasst sich mit dem Warum und Wie.


Zusätzlich gab es in jüngster Zeit eine rekordverdächtige Anzahl an spektakulären Sicherheitsvorfällen und Systemausfällen – von Facebook über T-Mobile und GM bis hin zu Twitch. Das alles hat dazu geführt, dass Compliance-Thematiken weiter an Bedeutung gewonnen haben.

Dev-Insider: Mutet man den Entwicklern mit dem „Policy-as-Code“-Gedanken nicht vielleicht etwas zu viel Verantwortung zu?

Peyton: Ganz und gar nicht. Es tritt genau der gegenteilige Effekt ein. Policy-as-Code bedeutet nicht, dass ab jetzt die Entwickler für das Schreiben von Sicherheitsrichtlinien verantwortlich sind. Der Ansatz bietet stattdessen Security- und Operations-Teams einen Rahmen dafür, Entwicklern Sicherheitsprofile als kodifizierte Assets zur Verfügung zu stellen.

Diese Artefakte können sie dann als Teil ihrer Continuous-Integration- und Continuous-Development-Prozesse nutzen. Die Standards und Inhalte des Center for Internet Security (CIS) gehen sogar noch einen Schritt weiter. Sie stellen DevSecOps-Teams Basisvorlagen zur Verfügung, die dann nur noch an die spezifischen Bedürfnisse ihres Unternehmens angepasst werden müssen.

Zudem lassen sich durch Policy-as-Code auch viele Nacharbeiten vermeiden, die entstehen, wenn sich Entwickler der Sicherheitsrichtlinien nicht bewusst sind und diese erst später im Lieferzyklus angemahnt werden. Der Policy-as-Code-Ansatz stellt sicher, dass das, was entwickelt und getestet wird, dann auch genauso im Produktiveinsatz funktioniert.

Dev-Insider: Müssen Security-Abteilungen angesichts der Codifizierung verschiedener Aufgabenbereiche nun komplett umgestellt werden?

Peyton: Die Mitglieder der Sicherheitsteams werden in den Produktteams angesiedelt und berichten an die Corporate Security Teams. Sicherheit ist nicht länger ein nachgeordneter Aspekt. sondern ein inhärenter Bestandteil der Anwendungsbereitstellung und des Change-Managements. Die Owner von Richtlinien und Governance sind dabei die Corporate Security Teams.

Dev-Insider: Welche Bedeutung kommt dabei aktuellen Security-Fachbereichsleitern wie dem CISO zu?

Peyton: Die Bedeutung des CISO war noch nie so groß wie heute. Unternehmen werden immer agiler, verfügen über immer mehr Umgebungen wie Cloud, Multi Cloud, On-Premises und Edge, und haben immer dezentralere Produktteams und Entwickler.

Das erfordert einen Top-Down-Ansatz, um die Einhaltung von Vorgaben wie CIS-Protokollen und die Sicherheit der Daten zu gewährleisten. Zu diesem Zweck müssen Unternehmen auch Systeme und Abläufe wie Ausnahmeprozesse, ein unternehmensweites Dashboarding und Reporting oder Auditierungsverfahren aufsetzen. Nur so können sie den Anforderungen der verschiedenen Teams gerecht werden.

Dev-Insider: Sicherheit – ob nun Testing, Berechtigungsmanagement oder Patching – galt in der Vergangenheit immer als Hemmschuh der agilen Software-Entwicklung und -Bereitstellung. Ist damit nun endlich Schluss? Oder gibt es hier noch weitere wichtige Bereiche mit Optimierungs- und Automatisierungspotenzial?

Peyton: Das ist schwer abzuschätzen. Solange Unternehmen weiterhin innovativ sind und neue Technologien einführen, werden Tests, Berechtigungsmanagement und Patching nie enden und sich auch ständig weiterentwickeln und verändern. Wer weiß heute schon, wie die Wartung von Kubernetes und Containern in zehn Jahren aussehen wird oder welche neuen Technologien es dann geben wird?

Heather Peyton ist Senior Product Marketing Manager Chef bei Progress.

E-Book zum Thema

DevOps und Security

eBook DevSecOps
eBook „DevOps und Security“
(Bild: Dev-Insider)

Sicherheit sollte eng mit den DevOps-Prozessen integriert und gleich zu Beginn der Entwicklung berücksichtigt werden. Die Frage lautet, wie man eine Veränderung am besten umsetzt, die Organisation und die Unternehmenskultur betrifft.

Dieses eBook umfasst die folgenden Themen:

  • Wozu DevOps um Security erweitern?
  • DevSecOps, SecDevOps und DevOpsSec
  • DevSecOps: So geht es in der Praxis

(ID:47781149)