:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Software-Qualität und Sicherheit erhöhen Qualitätssicherung in der DevOps-Strategie
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Im Zuge von DevOps-Initiativen kann die agile Zusammenarbeit verschiedener Bereiche und Teams die Software-Entwicklung bereichern und deutlich beschleunigen. Dabei sollte jedoch die Qualität und Sicherheit im Auge behalten werden.
Das Thema DevOps ist ein wichtiges Schlagwort in der Software-Entwicklung. Eigentlich soll die Philosophie die agile Zusammenarbeit zwischen den Bereichen Development und Operations stärken und so den Prozess der Softwareentwicklung beflügeln. Allerdings stellt der DevOps-Ansatz viele Unternehmen auch vor ein großes Problem: Die Qualität der Software ist möglicherweise nicht immer gewährleistet.
Wenn an einem Ende der Kette der Vertrieb makelt und am anderen Ende die Entwickler versuchen, viele neue Funktionen einzubinden, leidet nicht selten der Bereich Operations, der den IT-Betrieb sicherstellen muss. Vor allem die (Betriebs-)Sicherheit eines Produkts kommt hier manchmal zu kurz, obwohl die DevOps-Philosophie eigentlich die Qualität steigern soll.
Die entscheidende Frage lautet, wie sich die Qualitätssicherung direkt in den Entwicklungsprozess einbinden lässt. Softwareentwicklung wäre nicht Softwareentwicklung, wenn nicht auch hierfür nicht bereits ein Schlagwort erfunden wäre: DevSecOps – oder je nach Hersteller und Verortung der Sicherheit auch SecDevOps und DevOpsSec – ist eine Methode, um die Qualitätssicherung tief in den Prozessen der Softwareentwicklung zu integrieren. Dadurch sollen schwere Bugs und Sicherheitsprobleme von Vornherein vermieden werden.
DevSevOps: Sicherheit on the fly
Der DevSecOps-Ansatz besteht deshalb aus zwei Säulen: einerseits muss die Sicherheit in Form von Code (Security as Code, SaC) integriert werden: Dabei wird die Software nicht als Ganzes gesehen, sondern als eine Reihe von Code-Schnipseln, die bei Bedarf neu angelegt oder verändert werden. Statt das komplette Produkt auf Lücken und Bugs zu testen, wird jeder Entwickler und jedes Team angehalten, den jeweils neu erstellten Code auf solche Probleme zu prüfen. In größeren Teams automatisieren Analysetools diese Aufgabe.
Die zweite Säule betrifft die Infrastruktur: Infrastructure as Code (IaC) beschreibt letztlich, dass die Umgebung, in der die Software läuft, selbst Software sein sollte. Virtuelle Maschinen oder Docker-Container sind ein solcher Ansatz. Sie erlauben die schnelle und kostengünstige Skalierung, können leichter gesichert werden und lassen sich bei Bedarf schnell duplizieren, neu aufsetzen oder austauschen. Tritt ein Fehler auf, liegt im besten Fall bereits eine zweite Version in einer Datei vor. Diese muss nur auf der ohnehin vorhandenen Server-Struktur oder Cloud hochgefahren werden. Zudem kann an einer Instanz entwickelt werden, während die andere schon läuft.
Zwei Säulen, ein Ziel
Zusammen sorgen beide Säulen der DevSecOps-Idee dafür, dass die agilen Prozesse beibehalten werden können, dabei aber im laufenden Prozess für Sicherheit gesorgt wird. Ist die Infrastruktur ordentlich etabliert, kann einfach eine zweite Instanz des Produkts geschaltet werden, die von den Entwicklern geändert wird.
Gleichzeitig liegt der jeweils aktuelle Betriebsstand, vielleicht mit einigen älteren Versionen, als Datei bereit. Solche Server-Instanzen können bei Bedarf schnell umgeschaltet oder verändert werden. Derweil sorgen die Entwickler-Teams durch den Check der Codezeilen dafür, dass bei der Codeerstellung möglichst wenige Sicherheitsprobleme auftreten.
Die Unternehmenskultur ist wichtig
Um diese möglichst agilen und gleichzeitig soliden Prozesse zu integrieren, ist ein wenig Arbeit vonnöten. Diese betrifft unter anderem die Organisation von Teams und die allgemeine Kultur bei der Code-Erstellung. Nur in einem Ambiente, das offen für DevSecOps ist, lässt sich ein entsprechendes System tief in den Arbeitsprozessen integrieren. Unternehmen sollten deshalb:
- Eine Kultur der Offenheit und des Lernens etablieren, in der auch unkonventionelle Lösungen akzeptiert werden. Dazu zählt auch die Offenheit für Kritik, etwa wenn ein Mitarbeiter auf Bugs und Sicherheitsmängel hinweist, obwohl Budget und Zeitrahmen nicht mehr für die Fehlersuche ausreichen.
- Dynamische Feedback-Schleifen sicherstellen, um Informationen schnellstmöglich übermitteln zu können. Auch hier ist wichtig, dass alle Teile eines DevOps-Prozesses positiv auch auf unerwünschte Informationen reagiert.
- Security-Evangelisten nicht ausbremsen, die sich die Sicherheit einer Software auf die Fahnen geschrieben haben. Stattdessen sollte gerade deren Einschätzung relevant sein, um eine gute Qualität sicherzustellen.
- Autonomie fördern, um Teams die Möglichkeit zu geben, Sicherheitsprobleme und andere Fehler im laufenden Prozess selbstständig und ohne lange Review-Prozesse zu beheben.
SecDevOps in Prozessen etablieren
Ebenso gilt es, die Prozesse innerhalb von Teams und Unternehmen mit Blick auf DevSecOps zu optimieren. Dadurch kommt es zu einem grundsätzlichen Bewusstsein für die Wichtigkeit qualitativ hochwertigen Codes. Das lässt sich mit folgenden Maßnahmen sicherstellen:
- Regelmäßige Sicherheitsprüfungen durchführen sorgt dafür, dass Code gezielt und regelmäßig auf Probleme überprüft wird. Dadurch kann eine Korrektur an einem möglichst frühen Zeitpunkt erfolgen.
- Fortschritte und Performance nachhalten muss jeder Teamleiter, doch es ist sinnvoll, etwa durch genaue Zielvorgaben, im Auge zu behalten, wo es gut läuft und wo es hakt. Auf diese Weise kann sichergestellt werden, dass auftretende Probleme schnellstmöglich erkannt werden.
- Feste Vorgehensweisen festzulegen, um im Fall der Fälle schnell einschreiten zu können. Wird ein Fehler im laufenden Prozess entdeckt, muss es eine für alle Teammitglieder nutzbare und nachvollziehbare „Notbremse“ geben.
- Feedback-Schleifen fest einbauen kann helfen, fokussiert zu bleiben und Fehler schnellstmöglich zu beheben.
DevSecOps: Hilfsmittel einsetzen
Zusätzliche technische Maßnahmen und Tools sind ebenfalls wichtig, um die Qualitätssicherung fest im laufenden Prozess zu etablieren. So kann an vielen Stellen eine Automatisierung per Skript oder mittels Analysetool erfolgen, um Mitarbeiter zu entlasten und die Teamleitung nicht permanent mit Nebenbaustellen zu belästigen.
Sinnvoll ist zudem, ein Fehlermeldesystem einzuführen, mit dessen Hilfe Mitarbeiter Fehler nicht nur melden, sondern auch priorisieren können. Zudem sollte natürlich die Infrastruktur, auf der das Projekt als IaS läuft, möglichst stabil und verlässlich sein, um einerseits Sicherheitsprobleme zu vermeiden und andererseits Wechselwirkungen aus dem Weg zu gehen.
(ID:47329563)
:quality(80)/p7i.vogel.de/wcms/26/cd/26cdc4e8fa35779e31a7d5ed1fc5cd54/0109928003.jpeg "Automatisierte SQA-Techniken, -Prozesse und -Werkzeuge schaffen robuste Software, unser eBook liefert einen Überblick. (© greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/84/bd84a42749a528eaa94f513429d8f9f0/0110156993.jpeg "Links auf der Überholspur: Shift-Left-Testing macht effiziente DevSecOps-Workflows erst überhaupt möglich. Hier durchdringt kontinuierliches Testen die kontinuierliche Entwicklung (Dev), Sicherheit (Sec) und Bereitstellung (Ops). (Bild: <a href=https://www.pexels.com/de-de/@taras-makarenko-188506/>Taras Makarenko</a>)")