DevSecOps – agile & sichere Entwicklung

Ihre Applikation ist nur so gut, wie sie sicher ist. Diese Sicherheit erreichen Sie durch ein direktes kollegiales 
Miteinander und eine automatisierte Toolnutzung – kurz gesagt, durch DevSecOps! 

„Ich habe es nicht mehr geschafft, meine Applikation auf Sicherheit zu testen. Live geschaltet habe ich sie trotzdem, wird schon gut gehen. Alle Geschäftsdaten sind öffentlich und für Unbefugte einsehbar, die Server sind abgestürzt oder die Cloud-Rechnung ist schlicht und einfach unbezahlbar.“ 

Dieses Szenario wollen wir unbedingt vermeiden – am besten realisiert durch eine individuelle Automatisierung. Doch die Automatisierung wurde bisher nicht umgesetzt, weil die gemeinsame Verantwortlichkeit fehlt. Konkrete Zuständigkeiten, gemeinsames Handeln und der individuelle Einsatz von Automatisierungsmaßnahmen sind hier die Lösung. 

Wieso wird die individuelle Automatisierung nicht umgesetzt?

Durch „DevOps“ hat sich die Entwicklungsgeschwindigkeit von Applikationen enorm steigern lassen. Jedoch reagiert die Security nicht in derselben Geschwindigkeit. Dies hat zur Folge, dass Security-Maßnahmen außer Acht gelassen werden. Niemand fühlt sich verantwortlich. Tools sind nicht bekannt oder werden nicht richtig verwendet. Entwicklern und Betreibern fehlt das Wissen über Security-Maßnahmen und passende Tools. Ein Wissensaustausch findet nicht statt. Alle Abteilungen bleiben in ihrem Silodenken oder es kommt sogar so weit, dass Abteilungen bewusst nicht miteinander kommunizieren wollen. Im Wasserfallvorgehen konnte dieses Problem teilweise abgefangen werden, da am Ende des Prozesses eine umfassende Testphase eingeplant wurde. 

 

In der agilen Welt hingegen gibt es dafür keine Zeit mehr. Durch die Sprintplanung werden für die Entwicklungszyklen nicht mehr mehrere Monate veranschlagt, sondern meistens nur noch 2–4 Wochen. Es ist daher ratsam, Applikationen in kurzen Abständen zu veröffentlichen. Ansonsten besteht die Gefahr, dass sie von Wettbewerbern schon auf ähnliche Weise auf den Markt gebracht werden und die eigene Applikation nicht mehr wettbewerbsfähig und marktrelevant ist. Wenn Sie Ihre Applikationen durch Automatisierung von Security absichern und Security an den Beginn des Entwicklungsprozesses ziehen, erreichen Sie die benötigte Sicherheit und können so den entscheidenden Wettbewerbsvorteil für sich nutzen. 

Wie kann Security als Wettbewerbsvorteil erreicht werden?

Um eine verlässliche Automatisierung für die Sicherheit von Applikationen umzusetzen, sind 

folgende Fragen zu klären: 

  • Welches Ziel wird durch die Automatisierung angestrebt? 
  • Wie arbeiten die einzelnen Abteilungen heute zusammen? 
  • Welche Maßnahmen sind zu ergreifen, um die Zusammenarbeit zu verbessern und systematisch umzusetzen? 
  • Wie funktionieren die aktuellen Prozesse für die Entwicklung, den Betrieb und die Sicherheit? 
  • Welche Prozesse müssen an die Automatisierung angepasst werden?
  • Wie können diese Prozesse angepasst werden? 
  • Welche Automatisierungstools werden bereits in der Organisation verwendet? 
  • Welche Maßnahmen sind umzusetzen, um die Sicherheit zu gewährleisten? 
  • Welche Tools sollen für die Umsetzung der Security-Maßnahmen genutzt werden? 
  • Wie führt man die Tools ein? 
  • Welche Maßnahmen werden ergriffen, wenn überflüssige Tools vorhanden sind? 
 

Das „DevSecOps“-Konzept mit seinen Best-Practice-Ansätzen bietet Hilfe, um Antworten auf diese Fragen zu finden. Grob eingeteilt besteht das Konzept aus drei Säulen: People, Process und Automation. Die Umsetzung kann entweder für alle drei Säulen oder fokussiert auf einzelne Bereiche erfolgen.

Ziele

  1. People: Systematisieren der Zusammenarbeit zwischen den Abteilungen und Etablieren eines strukturierten Wissensaustausches  
  2. Process: Einführen agiler Prozesse, die die Geschwindigkeit erhöhen und trotzdem sichere Applikationen ermöglichen
  3. Automation: Etablieren einer automatisierten Toolchain, um notwendige Security-Methoden abzudecken 

Der agile Entwicklungsprozess – Beispiel für „DevSecOps“

Erhöhte Sicherheit wird vor allem erreicht, wenn die Sicherheit in den Entwicklungsprozess integriert wird. Security-Überprüfungen finden dann bereits auf Codeebene statt. Die Sicherheit lässt sich durch einen organisationsweiten, standardisierten Entwicklungsprozess, der sowohl agile Vorgehensweisen als auch Security-Maßnahmen beinhaltet, erhöhen. Gleichzeitig schafft ein agiler, sicherer Entwicklungsprozess auch Transparenz – sowohl innerhalb der Organisation im Hinblick auf Security-Tools und Maßnahmen als auch außerhalb der Entwicklungsabteilung, da auch andere Abteilungen über die Art der Entwicklung informiert werden. Zusätzlich wird sichergestellt, dass Applikationen mit der gleichen Vorgehensweise entwickelt werden und das Sicherheitsniveau somit bei allen Applikationen gleich hoch ist. Der agile Entwicklungsprozess stellt ein Beispiel für eine erste Umsetzung von „DevSecOps“ dar. 

Wie kann es jetzt weitergehen?

Die individuelle Umsetzung des „DevSecOps“-Konzeptes bzw. einzelner Teile davon kann eine schnellere Entwicklung fördern, die kollegiale Zusammenarbeit stärken und Sicherheit als Wettbewerbsvorteil etablieren. Außerdem wird vermieden, dass unsichere Applikationen auf Grund von Unwissenheit und fehlender Zeit in einer sich schnell verändernden Welt veröffentlicht werden. Sie benötigen Hilfe bei der Umsetzung dieser Ziele? Im Rahmen von individualisierten Workshops ermitteln wir die aktuelle Situation Ihrer Organisation. Gemeinsam werden wir Lösungen für Ihren Erfolg generieren und einführen. Wenden Sie sich einfach direkt an unsere Expertin Bianca Sprätz, Kontakt: bianca.spraetz@skaylink.com