Definition „Development, Security, Operations“ Was ist DevSecOps?

Autor / Redakteur: alexbuerkle / Stephan Augsten |

Bei immer kürzeren Software-Entwicklungs-Zyklen kommt die Sicherheit meistens zu kurz. Ein neuer Ansatz namens „DevSecOps“ beseitigt dieses wichtige Problem und hilft IT-Unternehmen, trotz etablierter Sicherheitsprozesse schnell und agil zu bleiben.

Anbieter zum Thema

Im Zuge von DevSecOps werden Development und Operations im Sinne der sicheren Softwareentwicklung durch Security-Prozesse unterstützt.
Im Zuge von DevSecOps werden Development und Operations im Sinne der sicheren Softwareentwicklung durch Security-Prozesse unterstützt.
(Bild gemeinfrei: pixelcreatures / Pixabay )

Durch den DevOps-Ansatz profitieren die Unternehmen von einer Verbesserung ihrer Softwarequalität, einer schnelleren Entwicklung und einer besseren Zusammenarbeit aller beteiligten Teams. Obwohl der DevOps-Ansatz in vielen Unternehmen zu einer deutlichen Verbesserung führt, bleibt ein wichtiger Faktor meistens auf der Strecke.

Werden Anwendungen so schnell als möglich entwickelt, reicht die vorhandene Zeit nicht mehr aus, um den Code der Software auf Fehler und Schwachstellen zu überprüfen. Früher war die IT-Sicherheit die Aufgabe von einem speziellen Team. Dieses überprüfte die Software in der letzten Phase der Entwicklung im Hinblick auf Schwachstellen und Probleme.

Bei Software-Entwicklungen, die mehrere Monate oder Jahre in Anspruch nehmen, funktioniert das bewährte Prinzip hervorragend. Aufgrund der effizienten DevOps-Strategie dauern die Entwicklungszyklen nur noch wenige Wochen oder sogar Tage. Durch diese beschleunigte Entwicklung sind die veralteten Sicherheits-Praktiken zeitlich nicht mehr tragbar und werden meistens ausgelassen.

Die Weiterentwicklung von DevOps zu DevSecOps

Das Kunstwort „DevSecOps“ setzt sich aus Software-Entwicklung (Development), IT-Sicherheit (Security) und IT-Betrieb (Operations) zusammen und erweitert den etablierten DevOps-Ansatz um den wichtigen Faktor Cyber-Sicherheit. Der erweiterte Ansatz denkt die grundlegende DevOps-Idee konsequent zu Ende.

Sicherheit und Qualitätssicherung laufen nicht mehr getrennt von der Software-Entwicklung ab. Dadurch wirkt sich die IT-Sicherheit nicht nachteilig auf das Tempo der Entwicklung aus und die Unternehmen bleiben weiterhin agil. Von heute auf morgen funktioniert die Weiterentwicklung nicht. Die Unternehmen brauchen für die Umstrukturierung von DevOps zu DevSecOps ausreichend Zeit.

Dabei müssen sie eine große Herausforderungen bewältigen: Sich agil an Kundenbedürfnisse anpassen zu können, ohne die IT-Sicherheit zu vernachlässigen. Integrieren die Unternehmen den wichtigen Sicherheits-Aspekt in ihre vorhandene DevOps-Methodik, profitieren sie von mehreren Vorteilen.

DevSecOps – Vorteile für Unternehmen

Erfolgt die Software-Entwicklung in kleineren sowie inkrementelle Schritten, lässt sich die Sicherheit zu jeder Zeit testen. Dadurch reduzieren die Unternehmen nicht nur Kosten für auftretende Probleme im Live-Betrieb der Software. Sie schützen sich zudem vor negativen Kundenerfahrungen oder schlimmeren Problemen.

Bei der nahtlosen Integration der Applikations- und Cyber-Sicherheit müssen die Unternehmen darauf achten, dass sie ihre bisherigen Sicherheits-Tools bereits während der Software-Entwicklung effizient und richtig einsetzen. Die Anwendung der Security-Tools darf die Dauer der Entwicklung nicht in die Länge ziehen.

Dies gewährleisten modernste Sicherheits-Technologien, wie die Runtime Application Self-Protection (RASP) und die Software Composition Analysis (SCA). Die RASP schützt Anwendungen kontinuierlich und meldet jeden Angriff eigenständig. Mittels SCA können die Entwickler alle Applikationen und sämtliche Inkremente analysieren.

Automatisierte Prozesse verbessern die Sicherheit

Die automatisierten Prozesse stellen für Unternehmen eine bedeutende Erleichterung dar. Besitzt eine Anwendung verletzbare Komponenten, müssen diese im Rahmen der automatisierten Tests bereits vor der Implementierung in die Software verhindert werden. Schon während der Programmierung decken die systematischen Scans alle Sicherheitsprobleme auf. Diese kann das Unternehmen dann effizient und schnell beheben.

Unternehmen können die Integration der regelmäßigen Sicherheits-Tests (Black-Box-Checks) automatisieren und dadurch Schwachstellen der Software frühzeitig erkennen. Selbst nach der Implementierung lassen sich automatische Überwachungen in Echtzeit einsetzen. Diese erkennen unter anderem verdächtige Datenabfragen oder Aktivitäten. Dadurch können die Unternehmen in einem Ernstfall zeitnah reagieren und die gefundenen Schwachstellen sofort schließen.

Die Aufgaben- und Einsatzgebiete von DevSecOps

  • IT-Anlagenwirtschaft
  • Logging und Monitoring
  • Containment und Zoning
  • Geräte-Attestierung
  • Auditing und OpsDB-Verwaltung
  • Autorisierungs- und Authentifizierungs-Mechanismen
  • Verwaltung und Verschlüsselung der digitalen Zertifikate
  • Network Access Control
  • Software Defined Perimeter

IT-Sicherheit als fester Bestandteil des gesamten Software-Lifecycles

Der DevSecOps-Ansatz erfordert von den Unternehmen einen gewissen Aufwand, der vor allem zu Beginn hoch ausfällt. Dafür bringt die Umstrukturierung bereits mittelfristig mehrere Vorteile mit sich und stellt eine optimale Ergänzung für alle Software-Entwicklungs-Zyklen dar. Mehr und mehr Anbieter haben die Wichtigkeit einer festen und dauerhaften IT-Sicherheit erkannt und stellen entsprechende Lösungen bereit. Diese erleichtern die Arbeit von zukünftigen DevSecOps-Teams in den Unternehmen deutlich.

Mit modernen Technologien wie RASP und SCA lassen sich Applikationen kontinuierlich analysieren und schützen. Durch die Sicherheits-Technologien können die IT-Unternehmen die DevSecOps-Umstrukturierung ohne dafür eigens geschulte Sicherheits-Fachkräfte durchführen. Der Aufwand für die vorhandene agilen Teams hält sich in Grenzen.

(ID:46006695)