:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/4a/2c/4a2c83570cf413a53acc88791127985b/0113689146.jpeg "UX- und UI-Design müssen sich auf immer neue Trends einstellen, es gibt allerdings auch einige festgeschriebene Grundregeln. (Bild: <a href=https://unsplash.com/@karlsolano>Karl Solano</a>)")
:quality(80)/p7i.vogel.de/wcms/1c/21/1c217e175ccf86245c86b48a7a70f930/0114270577.jpeg "Sysdig und Checkmarx führen Cloud- und Anwendungssicherheit auf einer Plattform zusammen. (Bild: William)")
:quality(80)/p7i.vogel.de/wcms/58/19/5819c761ed85847bcd078190acf7ad4f/0114215872.jpeg "Die Beta von GitHub Copilot Chat ist fortan für alle User von Visual Studio und VS Code verfügbar. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/5e/08/5e0825016fa505d43decf6f23fcd5047/0114270026.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/ca/02caa38db6be1bcce330d6bb35d8742e/0114195179.jpeg "Langeweile lassen Developer nicht lange auf sich sitzen, der Arbeitgeber ist schnell gewechselt. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/6d/7b/6d7bd893f3034b22e9515d03f4a2bcf8/0114243416.jpeg "Lens AppIQ richtet sich laut Mirantis insbesondere an IT-Fachkräfte, die täglich mit Kubernetes arbeiten müssen. (Bild: Mirantis)")
:quality(80)/p7i.vogel.de/wcms/dd/64/dd64a3e1d07ca90d00b83de559c2512d/0113887944.jpeg "„Edge-Computing ist kein bestimmter Ort oder Gerätetyp, sondern eher ein Kontinuum von Standorten, die vom zentralisierten Cloud-Computing entfernt sind“, so Autor Sebastian Scheele. Trotzdem eignen sich Cloud-Native-Technologien, insbesondere Kubernetes, um an der Edge Computing zu betreiben. (Bild: frei lizenziert: distelAPPArath)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/6e/a8/6ea8547b0fb110921fb8b4b40e9c7eb9/0114132511.jpeg "Eine simple Slideshow samt Vollbildmodus? Kein Problem für Bard und GPT-4. (Bild: Rentrop)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Software-Qualität und Sicherheit erhöhen Qualitätssicherung in der DevOps-Strategie
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Im Zuge von DevOps-Initiativen kann die agile Zusammenarbeit verschiedener Bereiche und Teams die Software-Entwicklung bereichern und deutlich beschleunigen. Dabei sollte jedoch die Qualität und Sicherheit im Auge behalten werden.
Das Thema DevOps ist ein wichtiges Schlagwort in der Software-Entwicklung. Eigentlich soll die Philosophie die agile Zusammenarbeit zwischen den Bereichen Development und Operations stärken und so den Prozess der Softwareentwicklung beflügeln. Allerdings stellt der DevOps-Ansatz viele Unternehmen auch vor ein großes Problem: Die Qualität der Software ist möglicherweise nicht immer gewährleistet.
Wenn an einem Ende der Kette der Vertrieb makelt und am anderen Ende die Entwickler versuchen, viele neue Funktionen einzubinden, leidet nicht selten der Bereich Operations, der den IT-Betrieb sicherstellen muss. Vor allem die (Betriebs-)Sicherheit eines Produkts kommt hier manchmal zu kurz, obwohl die DevOps-Philosophie eigentlich die Qualität steigern soll.
Die entscheidende Frage lautet, wie sich die Qualitätssicherung direkt in den Entwicklungsprozess einbinden lässt. Softwareentwicklung wäre nicht Softwareentwicklung, wenn nicht auch hierfür nicht bereits ein Schlagwort erfunden wäre: DevSecOps – oder je nach Hersteller und Verortung der Sicherheit auch SecDevOps und DevOpsSec – ist eine Methode, um die Qualitätssicherung tief in den Prozessen der Softwareentwicklung zu integrieren. Dadurch sollen schwere Bugs und Sicherheitsprobleme von Vornherein vermieden werden.
DevSevOps: Sicherheit on the fly
Der DevSecOps-Ansatz besteht deshalb aus zwei Säulen: einerseits muss die Sicherheit in Form von Code (Security as Code, SaC) integriert werden: Dabei wird die Software nicht als Ganzes gesehen, sondern als eine Reihe von Code-Schnipseln, die bei Bedarf neu angelegt oder verändert werden. Statt das komplette Produkt auf Lücken und Bugs zu testen, wird jeder Entwickler und jedes Team angehalten, den jeweils neu erstellten Code auf solche Probleme zu prüfen. In größeren Teams automatisieren Analysetools diese Aufgabe.
Die zweite Säule betrifft die Infrastruktur: Infrastructure as Code (IaC) beschreibt letztlich, dass die Umgebung, in der die Software läuft, selbst Software sein sollte. Virtuelle Maschinen oder Docker-Container sind ein solcher Ansatz. Sie erlauben die schnelle und kostengünstige Skalierung, können leichter gesichert werden und lassen sich bei Bedarf schnell duplizieren, neu aufsetzen oder austauschen. Tritt ein Fehler auf, liegt im besten Fall bereits eine zweite Version in einer Datei vor. Diese muss nur auf der ohnehin vorhandenen Server-Struktur oder Cloud hochgefahren werden. Zudem kann an einer Instanz entwickelt werden, während die andere schon läuft.
Zwei Säulen, ein Ziel
Zusammen sorgen beide Säulen der DevSecOps-Idee dafür, dass die agilen Prozesse beibehalten werden können, dabei aber im laufenden Prozess für Sicherheit gesorgt wird. Ist die Infrastruktur ordentlich etabliert, kann einfach eine zweite Instanz des Produkts geschaltet werden, die von den Entwicklern geändert wird.
Gleichzeitig liegt der jeweils aktuelle Betriebsstand, vielleicht mit einigen älteren Versionen, als Datei bereit. Solche Server-Instanzen können bei Bedarf schnell umgeschaltet oder verändert werden. Derweil sorgen die Entwickler-Teams durch den Check der Codezeilen dafür, dass bei der Codeerstellung möglichst wenige Sicherheitsprobleme auftreten.
Die Unternehmenskultur ist wichtig
Um diese möglichst agilen und gleichzeitig soliden Prozesse zu integrieren, ist ein wenig Arbeit vonnöten. Diese betrifft unter anderem die Organisation von Teams und die allgemeine Kultur bei der Code-Erstellung. Nur in einem Ambiente, das offen für DevSecOps ist, lässt sich ein entsprechendes System tief in den Arbeitsprozessen integrieren. Unternehmen sollten deshalb:
- Eine Kultur der Offenheit und des Lernens etablieren, in der auch unkonventionelle Lösungen akzeptiert werden. Dazu zählt auch die Offenheit für Kritik, etwa wenn ein Mitarbeiter auf Bugs und Sicherheitsmängel hinweist, obwohl Budget und Zeitrahmen nicht mehr für die Fehlersuche ausreichen.
- Dynamische Feedback-Schleifen sicherstellen, um Informationen schnellstmöglich übermitteln zu können. Auch hier ist wichtig, dass alle Teile eines DevOps-Prozesses positiv auch auf unerwünschte Informationen reagiert.
- Security-Evangelisten nicht ausbremsen, die sich die Sicherheit einer Software auf die Fahnen geschrieben haben. Stattdessen sollte gerade deren Einschätzung relevant sein, um eine gute Qualität sicherzustellen.
- Autonomie fördern, um Teams die Möglichkeit zu geben, Sicherheitsprobleme und andere Fehler im laufenden Prozess selbstständig und ohne lange Review-Prozesse zu beheben.
SecDevOps in Prozessen etablieren
Ebenso gilt es, die Prozesse innerhalb von Teams und Unternehmen mit Blick auf DevSecOps zu optimieren. Dadurch kommt es zu einem grundsätzlichen Bewusstsein für die Wichtigkeit qualitativ hochwertigen Codes. Das lässt sich mit folgenden Maßnahmen sicherstellen:
- Regelmäßige Sicherheitsprüfungen durchführen sorgt dafür, dass Code gezielt und regelmäßig auf Probleme überprüft wird. Dadurch kann eine Korrektur an einem möglichst frühen Zeitpunkt erfolgen.
- Fortschritte und Performance nachhalten muss jeder Teamleiter, doch es ist sinnvoll, etwa durch genaue Zielvorgaben, im Auge zu behalten, wo es gut läuft und wo es hakt. Auf diese Weise kann sichergestellt werden, dass auftretende Probleme schnellstmöglich erkannt werden.
- Feste Vorgehensweisen festzulegen, um im Fall der Fälle schnell einschreiten zu können. Wird ein Fehler im laufenden Prozess entdeckt, muss es eine für alle Teammitglieder nutzbare und nachvollziehbare „Notbremse“ geben.
- Feedback-Schleifen fest einbauen kann helfen, fokussiert zu bleiben und Fehler schnellstmöglich zu beheben.
DevSecOps: Hilfsmittel einsetzen
Zusätzliche technische Maßnahmen und Tools sind ebenfalls wichtig, um die Qualitätssicherung fest im laufenden Prozess zu etablieren. So kann an vielen Stellen eine Automatisierung per Skript oder mittels Analysetool erfolgen, um Mitarbeiter zu entlasten und die Teamleitung nicht permanent mit Nebenbaustellen zu belästigen.
Sinnvoll ist zudem, ein Fehlermeldesystem einzuführen, mit dessen Hilfe Mitarbeiter Fehler nicht nur melden, sondern auch priorisieren können. Zudem sollte natürlich die Infrastruktur, auf der das Projekt als IaS läuft, möglichst stabil und verlässlich sein, um einerseits Sicherheitsprobleme zu vermeiden und andererseits Wechselwirkungen aus dem Weg zu gehen.
(ID:47329563)
:quality(80)/p7i.vogel.de/wcms/8a/b7/8ab73d759aa238e8238384e82d534d5a/0103493527.jpeg "Im Zuge der Shift-Left-Strategie liegt das Augenmerk von Beginn an und durchgängig auf der Sicherheit. (Bild: TBIT)")
:quality(80)/p7i.vogel.de/wcms/26/cd/26cdc4e8fa35779e31a7d5ed1fc5cd54/0109928003.jpeg "Automatisierte SQA-Techniken, -Prozesse und -Werkzeuge schaffen robuste Software, unser eBook liefert einen Überblick. (© greenbutterfly - stock.adobe.com)")