Barrieren zwischen DevOps und Security

Application Security and DevOps Report 2016: stärkere Integration von Security und DevOps notwendig.

foto-cc0-pixabay-ocv-barriere-vertikalDer »Application Security and DevOps Report 2016« von Hewlett Packard Enterprise (HPE) zeigt die Notwendigkeit, Security- und DevOps-Teams stärker zu integrieren. Für den Bericht wurden IT-Betreiber, Security-Manager und Entwickler befragt.

99 Prozent der Befragten sagen, dass sich mit DevOps grundsätzlich die Anwendungssicherheit verbessern lässt – aber nur 20 Prozent führen während der Entwicklung Anwendungssicherheits-Tests durch, und 17 Prozent nutzen gar keine Lösungen, um ihre Anwendungen zu schützen. Es herrscht also eine deutliche Kluft zwischen Wahrnehmung und Realität von sicherem DevOps.

Zahlreiche Barrieren

Mit DevOps können Firmen Schwachstellen häufiger und früher im Anwendungslebenszyklus finden und beseitigen, was Kosten und Zeit spart. Der Application Security and DevOps Report 2016 hat allerdings zahlreiche Barrieren für eine erfolgreiche Integration von Security in DevOps festgestellt:

  • Es gibt organisatorische Barrieren zwischen Security- und Entwickler-Teams. Einige Entwickler gaben in der Befragung an, dass sie ihre Security-Teams nicht einmal kennen. 90 Prozent der Security-Mitarbeiter antworteten, dass es schwieriger geworden ist, Anwendungssicherheit zu integrieren seit ihr Unternehmen DevOps einsetzt.
  • Entwicklern fehlt es an Sicherheitsbewusstsein und -Trainings. Von mehr als 100 Stellenausschreibungen für Softwareentwickler bei Fortune-1000-Unternehmen verlangte keine entsprechende Security-Erfahrung.
  • In Unternehmen gibt es einen Mangel an Anwendungssicherheits-Experten. Auf jeden 80. Entwickler kommt in den untersuchten Firmen ein Anwendungssicherheits-Experte.

 

Empfehlungen für sichere Anwendungsentwicklung

Der Report gibt folgende Empfehlungen, wie Firmen bei der weiteren Einführung der DevOps-Kultur die Barrieren für sichere Anwendungsentwicklung beseitigen sowie die Integration von Security- und DevOps-Teams vorantreiben können:

  • Die Verantwortung für Security muss von mehreren Organisationen gemeinsam getragen werden. Security muss in jede Phase des Entwicklungsprozesses eingebettet sein, unterstützt durch das Management und entsprechende Zielvorgaben. Diese sollten sich auf Mean-Time-To-Triage (MTTT), Mean-Time-To-Fix (MTTF) sowie Programm-Compliance konzentrieren.
  • Der Mangel an Security-Bewusstsein und -Kompetenz kann überwunden werden, wenn man es Entwicklern einfach macht, sichere Entwicklung einzuüben. Firmen sollten Security-Werkzeuge, wie Fortify Security Assistant, in das Entwicklungsökosystem integrieren. Damit können Entwickler, während sie ihre Codes schreiben, Schwachstellen in Echtzeit finden und beseitigen. Das macht sichere Entwicklung einfach und effizient – und bildet den Entwickler währenddessen in sicherer Programmierung aus.
  • Firmen sollten automatisierte Lösungen für Anwendungssicherheit einsetzen, die über Analytics-Funktionen verfügen – etwa Fortify Scan Analytics, das mit maschinellem Lernen arbeitet. So können sie die Prüfung der Anwendungssicherheits-Tests automatisieren und ermöglichen ihren Sicherheitsexperten, sich nur auf die größten Risiken zu konzentrieren. Dadurch wird die Zahl der Sicherheitsrisiken reduziert, die manuell untersucht werden müssen.

DevOps zahlt sich aus – mehr als erwartet

Die Top-10-Technologien für Informationssicherheit in 2016

Vernachlässigung von DevOps schadet Unternehmen

Fünf Tipps zur erfolgreichen Umsetzung von DevOps

Cloud-Sicherheit durch organisatorisches Umdenken verbessern

DevOps: Schlüsselkriterien für Umsatzwachstum adressieren

Open Source als Schlüsselelement erfolgreicher DevOps-Strategien

DevOps ist für deutsche Unternehmen kein Fremdwort mehr

Studie: Verfügbarkeit von Apps wichtiger als Sicherheit

Weitere Artikel zu

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.