Definition „Development, Security, Operations“

Was ist DevSecOps?

| Autor / Redakteur: alexbuerkle / Stephan Augsten

Im Zuge von DevSecOps werden Development und Operations im Sinne der sicheren Softwareentwicklung durch Security-Prozesse unterstützt.
Im Zuge von DevSecOps werden Development und Operations im Sinne der sicheren Softwareentwicklung durch Security-Prozesse unterstützt. (Bild gemeinfrei: pixelcreatures / Pixabay)

Bei immer kürzeren Software-Entwicklungs-Zyklen kommt die Sicherheit meistens zu kurz. Ein neuer Ansatz namens „DevSecOps“ beseitigt dieses wichtige Problem und hilft IT-Unternehmen, trotz etablierter Sicherheitsprozesse schnell und agil zu bleiben.

Durch den DevOps-Ansatz profitieren die Unternehmen von einer Verbesserung ihrer Softwarequalität, einer schnelleren Entwicklung und einer besseren Zusammenarbeit aller beteiligten Teams. Obwohl der DevOps-Ansatz in vielen Unternehmen zu einer deutlichen Verbesserung führt, bleibt ein wichtiger Faktor meistens auf der Strecke.

Werden Anwendungen so schnell als möglich entwickelt, reicht die vorhandene Zeit nicht mehr aus, um den Code der Software auf Fehler und Schwachstellen zu überprüfen. Früher war die IT-Sicherheit die Aufgabe von einem speziellen Team. Dieses überprüfte die Software in der letzten Phase der Entwicklung im Hinblick auf Schwachstellen und Probleme.

Bei Software-Entwicklungen, die mehrere Monate oder Jahre in Anspruch nehmen, funktioniert das bewährte Prinzip hervorragend. Aufgrund der effizienten DevOps-Strategie dauern die Entwicklungszyklen nur noch wenige Wochen oder sogar Tage. Durch diese beschleunigte Entwicklung sind die veralteten Sicherheits-Praktiken zeitlich nicht mehr tragbar und werden meistens ausgelassen.

Die Weiterentwicklung von DevOps zu DevSecOps

Das Kunstwort „DevSecOps“ setzt sich aus Software-Entwicklung (Development), IT-Sicherheit (Security) und IT-Betrieb (Operations) zusammen und erweitert den etablierten DevOps-Ansatz um den wichtigen Faktor Cyber-Sicherheit. Der erweiterte Ansatz denkt die grundlegende DevOps-Idee konsequent zu Ende.

Sicherheit und Qualitätssicherung laufen nicht mehr getrennt von der Software-Entwicklung ab. Dadurch wirkt sich die IT-Sicherheit nicht nachteilig auf das Tempo der Entwicklung aus und die Unternehmen bleiben weiterhin agil. Von heute auf morgen funktioniert die Weiterentwicklung nicht. Die Unternehmen brauchen für die Umstrukturierung von DevOps zu DevSecOps ausreichend Zeit.

Dabei müssen sie eine große Herausforderungen bewältigen: Sich agil an Kundenbedürfnisse anpassen zu können, ohne die IT-Sicherheit zu vernachlässigen. Integrieren die Unternehmen den wichtigen Sicherheits-Aspekt in ihre vorhandene DevOps-Methodik, profitieren sie von mehreren Vorteilen.

DevSecOps – Vorteile für Unternehmen

Erfolgt die Software-Entwicklung in kleineren sowie inkrementelle Schritten, lässt sich die Sicherheit zu jeder Zeit testen. Dadurch reduzieren die Unternehmen nicht nur Kosten für auftretende Probleme im Live-Betrieb der Software. Sie schützen sich zudem vor negativen Kundenerfahrungen oder schlimmeren Problemen.

Bei der nahtlosen Integration der Applikations- und Cyber-Sicherheit müssen die Unternehmen darauf achten, dass sie ihre bisherigen Sicherheits-Tools bereits während der Software-Entwicklung effizient und richtig einsetzen. Die Anwendung der Security-Tools darf die Dauer der Entwicklung nicht in die Länge ziehen.

Dies gewährleisten modernste Sicherheits-Technologien, wie die Runtime Application Self-Protection (RASP) und die Software Composition Analysis (SCA). Die RASP schützt Anwendungen kontinuierlich und meldet jeden Angriff eigenständig. Mittels SCA können die Entwickler alle Applikationen und sämtliche Inkremente analysieren.

Automatisierte Prozesse verbessern die Sicherheit

Die automatisierten Prozesse stellen für Unternehmen eine bedeutende Erleichterung dar. Besitzt eine Anwendung verletzbare Komponenten, müssen diese im Rahmen der automatisierten Tests bereits vor der Implementierung in die Software verhindert werden. Schon während der Programmierung decken die systematischen Scans alle Sicherheitsprobleme auf. Diese kann das Unternehmen dann effizient und schnell beheben.

Unternehmen können die Integration der regelmäßigen Sicherheits-Tests (Black-Box-Checks) automatisieren und dadurch Schwachstellen der Software frühzeitig erkennen. Selbst nach der Implementierung lassen sich automatische Überwachungen in Echtzeit einsetzen. Diese erkennen unter anderem verdächtige Datenabfragen oder Aktivitäten. Dadurch können die Unternehmen in einem Ernstfall zeitnah reagieren und die gefundenen Schwachstellen sofort schließen.

Die Aufgaben- und Einsatzgebiete von DevSecOps

  • IT-Anlagenwirtschaft
  • Logging und Monitoring
  • Containment und Zoning
  • Geräte-Attestierung
  • Auditing und OpsDB-Verwaltung
  • Autorisierungs- und Authentifizierungs-Mechanismen
  • Verwaltung und Verschlüsselung der digitalen Zertifikate
  • Network Access Control
  • Software Defined Perimeter

IT-Sicherheit als fester Bestandteil des gesamten Software-Lifecycles

Der DevSecOps-Ansatz erfordert von den Unternehmen einen gewissen Aufwand, der vor allem zu Beginn hoch ausfällt. Dafür bringt die Umstrukturierung bereits mittelfristig mehrere Vorteile mit sich und stellt eine optimale Ergänzung für alle Software-Entwicklungs-Zyklen dar. Mehr und mehr Anbieter haben die Wichtigkeit einer festen und dauerhaften IT-Sicherheit erkannt und stellen entsprechende Lösungen bereit. Diese erleichtern die Arbeit von zukünftigen DevSecOps-Teams in den Unternehmen deutlich.

Mit modernen Technologien wie RASP und SCA lassen sich Applikationen kontinuierlich analysieren und schützen. Durch die Sicherheits-Technologien können die IT-Unternehmen die DevSecOps-Umstrukturierung ohne dafür eigens geschulte Sicherheits-Fachkräfte durchführen. Der Aufwand für die vorhandene agilen Teams hält sich in Grenzen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Mit DevSecOps zur sicheren Cloud

Sichere Anwendungsentwicklung dank Shift Left

Mit DevSecOps zur sicheren Cloud

Schnelligkeit in der Anwendungsentwicklung und -bereitstellung geht oft zu Lasten der Sicherheit. In Cloud-Umgebungen ist das nicht anders. Mit einem DevSecOps-Ansatz wird aber auch die Cloud zu einem sicheren Ort. lesen

GitLab ab sofort in Version 13.0 verfügbar

Update für DevSecOps-Plattform

GitLab ab sofort in Version 13.0 verfügbar

Die DevSecOps-Plattform GitLab hat das Release von Version 13.0 vollzogen. Es bietet zahlreiche neue Funktionen rund um Development, Planning, Analytics, Operations und Sicherheit. lesen

Entwicklung und Sicherheit optimal synchronisieren

Der sichere Software Development Life Cycle

Entwicklung und Sicherheit optimal synchronisieren

Die Art und Weise der Software-Entwicklung ändert sich ständig und die Bereitstellungszyklen werden immer schneller. Wenn die Anwendungssicherheit das Tempo von DevOps mithalten will, spielt Automatisierung eine Schlüsselrolle. lesen

DevOps sorgt für verschwimmende Rollen in der Software-Entwicklung

Studie von GitLab

DevOps sorgt für verschwimmende Rollen in der Software-Entwicklung

Die jährliche DevSecOps-Umfrage von GitLab zeigt, dass sich die Rollen der Software-Entwicklungsteams ändern. Traditionelle Grenzen zwischen Entwickler- und Operationsteams verschwimmen zunehmend. lesen

DevSecOps in Microservice-Umgebungen

Sicherheitsaspekte für unabhängig agierende Teams

DevSecOps in Microservice-Umgebungen

Um von den Vorteilen einer Microservice-Architektur zu profitieren, sollte man zunächst die damit einhergehenden Sicherheits- und Datenschutzherausforderungen verstehen. Denn gerade die Aufteilung in kleine, unabhängige Development-Teams kann sich negativ auswirken. lesen

Security und DevOps effizient integrieren

Neues eBook „DevOps und Security“

Security und DevOps effizient integrieren

Die Integration von Security und DevOps-Prozessen ist zwingend erforderlich, wenn man an Security by Design und Sicherheitslücken in Software denkt. Unser eBook betrachtet den Weg von DevOps hin zu DevSecOps und liefert Empfehlungen zur Umsetzung. lesen

Zufriedene Entwickler dank ausgereifter DevSecOps-Verfahren

Umfrage von Sonatype

Zufriedene Entwickler dank ausgereifter DevSecOps-Verfahren

Ausgereifte DevSecOps-Verfahren sorgen nicht nur für sicheren Code, sondern auch für zufriedene Entwickler. Dies zeigt die jährliche Umfrage des Spezialisten für Software-Supply-Chain-Automatisierung Sonatype. lesen

So klappt eine reibungslose DevSecOps-Einführung

DevSecOps effizient umgesetzt

So klappt eine reibungslose DevSecOps-Einführung

Die Abwehr von intelligenter Malware oder raffinierten Phishing-Angriffen, das sichere Auslagern von Assets in die Cloud sowie das Einhalten von immer komplexeren Daten­schutz­richtlinien erfordert von Unternehmen eine nachhaltige Sicherheitsstrategie. Diese muss unternehmensweit adaptiert werden und möglichst alle Schwachstellen abdecken. Die Umsetzung eines DevSecOps-Ansatzes kann dies unterstützen. lesen

Schwachstellen-Erkennung in dynamischen Laufzeit-Umgebungen

DevSecOps durch Contrast Asses mit Route Intelligence

Schwachstellen-Erkennung in dynamischen Laufzeit-Umgebungen

Contrast Security, Spezialist für den Server-seitigen Schutz von Webanwendungen und APIs, will die Anwendungssicherheit in DevOps-Umgebungen verbessern. Das Feature „Route Intelligence“ soll dabei helfen, Schwachstellen kontinuierlich zu evaluieren und die potenzielle Angriffsfläche der überwachten Anwendungen besser einschätzen zu können. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46006695 / Definitionen)