DevSecOps: Fünf Aspekte für den optimalen ROI

Illustration: Absmeier

Entwicklungsteams von Morgen denken nicht nur an Code, Sicherheit und den alltäglichen Arbeitsbetrieb, sondern auch an die Rentabilität – den ROI. In einer zunehmend digitalisierten Welt ist es unerlässlich, dass die Verantwortlichen für den ständigen Wandel bei der Modernisierung ihrer IT-Strukturen Geschäftsziele mitdenken.

 

Spätestens die Covid-19 Pandemie hat Unternehmen vor Augen geführt, wie entscheidend eine verlässliche und umfassende IT-Infrastruktur für den Unternehmenserfolg ist. Dirk Hedderich, Chief Technologist bei Micro Focus, stellt fünf Aspekte vor, die bei der Modernisierung von Technologien und Systemen innerhalb einer CI/CD-Pipeline für die optimale Rentabilität bedacht werden sollten – und wie DevSecOps-Lösungen dabei helfen.

 

Anzeige

  1. Reduzieren die neuen Technologien und Programme Komplexität oder schaffen sie eher eine unübersichtliche IT-Landschaft?

Wollen Entwicklerinnen und Entwickler im Sinne der Unternehmensziele handeln, müssen sie in Zukunft langfristig denken. Dabei hilft der DevSecOps-Ansatz, da hier der gesamte Technology-Value-Stream im Fokus steht und das Zusammenspiel zwischen einzelnen Lösungen und Technologien berücksichtigt wird. So entstehen keine Altlasten – wie Technology Departments und unnötig komplexe CI/CD-Pipelines.

 

  1. Steigern sich durch die Modernisierung Effizienz und Effektivität?

Es lohnt sich, bei der Integration von Lösungen in die CI/CD-Pipeline deren Effizienz und Effektivität zu bedenken. DevSecOps kann die Performance von Unternehmen erhöhen, ein Beispiel dafür ist Continuous Analysis: Darunter fallen sowohl die Implementierung eines zentralisierten (Daten-) Speichers, als auch die Umsetzung einer einheitlichen Datenerfassung. Dadurch wird die allgemeine Performance optimiert und alle Ressourcen können ideal ausgelastet werden.

 

Anzeige

  1. Wird die Sicherheit erhöht und werden zeitgleich Risiken gemindert?

In einer weltweiten Befragung von Micro Focus gab etwa jeder dritte Sicherheitsexperte an, dass die schwierigsten Aufgaben für das Team des Security Operations Center bei der Priorisierung von Vorfällen sowie dem Sicherheits-Monitoring bei wachsender Angriffsfläche liegen [1]. Um Unternehmen zu schützen und den ROI zu optimieren muss daher Risikoreduktion bei der Implementierung neuer Lösungen von Beginn an ein Thema sein. Durch die aufgebrochenen Silos arbeiten Entwicklungsteams beim DevSecOps-Ansatz eng mit Sicherheitsfachleuten zusammen. Dabei gibt es zwei Lösungsansätze, die verringerte Risiken ermöglichen: Zum einen kann Testautomatisierung die Entwickler bei dieser Aufgabe unterstützen. Werden Sicherheitstests, wie auch Modul- oder Integrationstests automatisiert, lässt sich einerseits die Testfrequenz deutlich steigern, andererseits werden die Mitarbeiterinnen und Mitarbeiter entlastet, was zu einer höheren Qualität ihrer Arbeit führt. Zum anderen verspricht der »Shift Left«-Ansatz eine umfassendere Sicherheit. Dabei werden Testläufe bereits zu Beginn des Entwicklungszyklus durchgeführt, wodurch entsprechende Fehler das Ende der CI/CD-Pipeline gar nicht erst erreichen.

 

  1. Kann die CI/CD-Pipeline noch ausgebaut werden?

Die einzige Konstante in der IT-Landschaft von Unternehmen ist die Veränderung. Daher müssen geplante Modernisierungen nicht nur kurzfristig, sondern auch langfristig angesetzt werden. Ein Austausch zwischen Entwicklerteams und Business-Analysten-Teams im Sinne des DevSecOps-Ansatzes sorgt für eine bessere Ausrichtung der Entwicklungsziele auf die Geschäftsziele, sowohl auf kurzfristiger, als auch auf langfristiger Basis. So kann die CI/CD-Pipeline bereits bei ihrer Entwicklung an die Marktanforderungen der Zukunft angepasst waren.

 

  1. Steigern sich die Geschwindigkeit und die Skalierbarkeit durch die neue Lösung?

Verfolgen Unternehmen einen DevSecOps-Ansatz, können sie nachweislich die Time to Market verbessern. Daher sollten Entwicklungsteams in DevSecOps-Praktiken wie Continuous Integration und Continuous Delivery umsetzen. In Kombination mit agilen Methoden sorgt dies dafür, dass Auslieferungsprozesse schnell und sicher erfolgen – und letzten Endes weniger investierte Stunden mehr Ergebnisse liefern.

 

Die voranschreitende digitale Transformation fordert immer mehr von Entwicklern und Entwicklerinnen. Werden aber die angeführten fünf Fragen bei der Integration von neuen Technologien oder Lösungen in CI/CD-Pipelines mitgedacht, können Unternehmen und ihre Produkte den Herausforderungen der Zukunft trotzen. Durch den Einsatz von DevSecOps und einer zukunftsfähigen Planung werden sowohl Entwicklungsteams als auch Unternehmen profitieren.

 

[1] https://www.microfocus.com/en-us/assets/security/2020-state-of-security-operations

 

290 Artikel zu „DevSecOps“

DevSecOps: Schneller sichere Software

Immer wieder sorgen Datenverluste und Datenschutzverletzungen aufgrund fehlerhafter Software für Schlagzeilen. Auf der einen Seite werden Cyberkriminelle immer findiger, wenn es darum geht, Sicherheitslücken auszunutzen. Andererseits verschärfen Regierungen und Regulierungsbehörden zurecht die Bestimmungen zum Datenschutz. Das hat in vielen Unternehmen zu der Situation geführt, dass die IT-Sicherheitsspezialisten der beschleunigten Entwicklung von Software durch den Einsatz…

Security-Praxistipps: Sechs DevSecOps-Metriken für DevOps- und Sicherheitsteams

Mitarbeiter im DevOps-Team bekommen leicht das Gefühl, dass das Sicherheitsteam dazu da ist, ihnen die Arbeit schwerer zu machen. Sicherheitsfachkräfte haben vielleicht das Gefühl, dass DevOps ihre Prioritäten nicht teilt und die Sicherheit nie so ernst nehmen wird, wie sie es gerne hätten. Glücklicherweise muss das nicht so sein. Durch das Festlegen und Verfolgen gemeinsamer…

In 6 Schritten zu DevSecOps

Während DevOps schon weitverbreitet ist, erkennen nun immer mehr Unternehmen, dass es entscheidend ist, nicht nur Entwicklung und Betrieb enger zu verzahnen, sondern, dass man auch Sicherheit immer von Anfang an mitdenken sollte. Dem trägt der DevSecOps-Ansatz Rechnung. Doch ebenso wie DevOps, ist dieser Ansatz kein Produkt, das man kauft, oder eine Lösung, die man…

Cybersicherheit und Container – So funktioniert die Umstellung auf DevSecOps

Die schnelle Einführung von Containern im Unternehmen sind eine einzigartige Gelegenheit dar, die generelle Sicherheitsstrategie zu verändern. Container stellen eine gute Möglichkeit dar, die Kluft zwischen Entwicklungs- und Sicherheitsteams zu überbrücken. Ist es möglich, dass Container das Unternehmen einen Schritt näher an DevSecOps heranbringen? Palo Alto Networks nimmt das Thema unter die Lupe. Computing hat…

DevSecOps: Unternehmen müssen umdenken, um in der Softwareentwicklung erfolgreich zu sein

Hindernis für die Integration von Sicherheit in die gesamte Softwareentwicklung sei laut der weltweiten Studie die bestehende Unternehmenskultur.   Im Zentrum der weltweiten Studie »Integrating Security into the DNA of Your Software Lifecycle« von CA Technologies stand die Frage, wie sich die Kultur eines Unternehmens auf dessen Fähigkeit auswirkt, Sicherheit in den gesamten Software-Entwicklungsprozess einzubinden.…

DevSecOps: Wie sich Microservices auf die Anwendungssicherheit auswirken

Die Architektur von Software verändert sich grundlegend – Microservices sind auf dem Vormarsch. Drei zentrale Herausforderungen, die das für die Anwendungssicherheit mit sich bringt. Microservices sind im Software Development schon seit mehreren Jahren auf dem Vormarsch. Viele kleine Services anstatt einzelner monolithischer Applikationen zu entwickeln, bietet in der Tat zahlreiche Vorzüge. Eine kleine Auswahl der…

Mit Vollgas in die Transformation: So wird die Fahrschulbranche digitalisiert

Gegründet im Sommer 2016, ist 123fahrschule heute mit 31 Filialen die größte Fahrschulkette des Landes und die einzige, die sich auf dem Börsenparkett bewegt. Boris Polenske gründete sein Bildungsunternehmen mit einer speziell entwickelten Software inklusive App, zwei Testfilialen und dem Ziel, die Zukunft der Branche neu zu programmieren. Mit Erfolg: Immer mehr Standorte deutschlandweit kommen…

Chancen für die Zusammenarbeit von Business und IT beim Umgang mit Unternehmensrisiken

Wie können Technikexperten die sich wandelnde Risikosituation in heutigen Geschäftsumgebungen handhaben, insbesondere die internen Auswirkungen von IT-Richtlinien zu Covid-19 und die Gefährdung durch externe Sicherheitsverletzungen?     SolarWinds, ein Anbieter von IT-Management-Software, präsentiert die Ergebnisse seines achten jährlichen IT-Trends-Reports. Der SolarWinds IT Trends Report 2021: Building a Secure Future wird acht Monate nach dem breit…

Studie belegt das wachsende Interesse an Containern

Software-Entwickler beschäftigen sich mit Containern, um neue Arten von Anwendungen bereitzustellen und Geschäftsbereiche besser zu unterstützen, aber auch um beruflich voranzukommen.   Container-Technologien sind das Rückgrat der modernen Anwendungsentwicklung, wie eine aktuelle Studie im Auftrag von Red Hat zeigt, dem Anbieter von Open-Source-Lösungen. Sie helfen Unternehmen, die Entwicklung und Bereitstellung von innovativen Applikationen voranzutreiben und…

Produktzentriertes Wertschöpfungsmodell: Mit Agile and DevOps den Kunden in den Fokus stellen und schneller Geschäftserfolge erzielen  

Eine neue Studie identifiziert sieben Agile-Treiber, die das Unternehmenswachstum um 63 Prozent steigern können. Infosys stellt neue Enterprise Agile DevOps-Funktionen vor – damit sind Unternehmen in der Lage, ihre Kunden verstärkt in den Fokus zu setzen und Innovationen voranzutreiben. Zu den wichtigsten Funktionen zählen ein produktzentriertes Wertschöpfungsmodell sowie ein datenbasierter Live-Engineering-Ansatz. Damit haben Organisationen die Möglichkeit,…

IT-Security as a Managed Service: Wie können kleine und mittlere Unternehmen ihre IT effizient absichern?

https://www.shutterstock.com/de/image-photo/security-theme-woman-using-her-laptop-1408603136   IT-Systeme werden immer komplexer und das Betreuen dieser Infrastrukturen wird zunehmend anspruchsvoller. Der weltweit und in Deutschland herrschende Fachkräftemangel führt zu vielen nicht besetzten Stellen in der IT. Gleichzeitig steigt das Risiko von Hackerangriffen seit Jahren kontinuierlich an, sodass umfassende IT-Security für Unternehmen jeder Größe von höchster Bedeutung ist.   Vor allem kleine…

PLM: Standardsoftware ist nicht die Antwort

Viele Anbieter im Bereich PLM (Product Lifecycle Management) preisen ihre Lösung damit an, dass sie out-of-the-box als Standardsoftware funktioniert. Das soll in der Theorie die Zusammenarbeit zwischen Herstellern und ihren externen Stakeholdern wie OEMs oder Zulieferern vereinfachen. In der Praxis sieht es jedoch oft anders aus: Denn der Einsatz von Standardsoftware wird den individuellen Anforderungen,…

Produktsicherheit: Erfolgreiches Product Security Incident Response Team (PSIRT) aufbauen

In den letzten Jahren sind aus gutem Grund immer mehr Gerätehersteller dazu übergegangen, die Produktsicherheit stärker in den Fokus zu rücken. Dazu zählt auch, den Aufbau eines Product Security Incident Response Teams (PSIRT) in die strategische Planung einzubeziehen, um das Risiko eines erfolgreichen Exploits zu senken. Unternehmen, die vernetzte Produkte und IoT-Geräte entwickeln, sind sich…

Die Kultur macht’s: So meistern Unternehmen die digitale Transformation

Die Corona-Pandemie war ein extremer Beschleuniger für die Digitalisierung: Unternehmen, die noch keine Transformationsstrategie hatten, mussten über Nacht eine erstellen. Dabei wurde jedoch oftmals vergessen, die Mitarbeitenden mitzunehmen. Eine erfolgreiche digitale Transformation gelingt jedoch nur, wenn Technik und Mitarbeiter im Einklang sind.   Durch die Covid-19-Pandemie befanden sich die Märkte weltweit zunächst in einem Abwärtstrend.…

Digitale Transformation: Mit Vollgas digitale Chancen nutzen

Wie MAXWORX das Geschäft des Autohaus NIX mit Microsoft 365 und Teams auf die richtige Spur brachte.  Zum richtigen Zeitpunkt Geschlossene Ausstellungsräume, keine Probefahrten. Man meint, die Pandemie hat Autohäuser stark getroffen. Ja, aber nicht alle! Das Autohaus NIX, das zu den größten Händlergruppen Deutschlands zählt, war auch während der Lockdowns erfolgreich. Und das begann…

abtis bringt Mittelständler in die Cloud – sicher vernetzt mit Microsoft Teams

Ambitionierte Unternehmen brauchen ambitionierte IT-Partner.   Unternehmen, die 2021 immer noch auf veraltete IT setzen und ausgetretene Kommunikationspfade beschreiten, werden mittelfristig abgehängt werden. Denn spätestens seit der Pandemie müssen sich alle mit der Zukunft der Arbeit und dem Modern Workplace auseinandersetzen. Nicht nur, dass Home Office unvorstellbar an Gewicht gewonnen hat, auch das globale, standortunabhängige…

Erfolgsfaktor Agilität: Mit toolgestützter Methode die agile Bereitschaft ermitteln und verbessern

Die Transformation zum agilen Unternehmen ist langfristig und komplex. Um den Prozess so effizient wie möglich zu gestalten, sollte zu Beginn die »Agile Readiness« bestimmt und durch gezielte Maßnahmen optimiert werden. Möglich ist das mit einer innovativen, toolgestützten Methode zur Ermittlung und Bewertung der agilen Bereitschaft und mithilfe der Unterstützung durch einen erfahrenen und kompetenten Beratungspartner, der den Weg zur agilen Organisation als »Trusted Advisor« begleitet.

Checkmarx beruft Roman Tuma als Chief Revenue Officer

Erfahrener Security-Experte zeichnet für die Umsetzung der Go-to-Market-Strategie von Checkmarx und für den Ausbau des Geschäfts mit entwicklerzentrierten AST-Lösungen verantwortlich.   Checkmarx, Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, hat Roman Tuma als neuen Chief Revenue Officer (CRO) berufen. Roman Tuma, der bislang als Vice President of Sales das Checkmarx Geschäft in den EMEA-, LATAM- und APAC-Regionen koordinierte, zeichnet…

Cloud, Observability, Ende-zu-Ende-Sichtbarkeit und Teambuilding – In vier Schritten zum Vorreiter der Softwareentwicklung

Eine positive Customer Experience hängt zu einem großen Teil davon ab, dass Software und Systeme Höchstleistungen bringen. Daher sind für viele Unternehmen die Entwicklung und Bereitstellung optimierter Software die oberste Priorität. Trotzdem erleben Nutzer noch immer Ausfälle, die sich bei den Unternehmen meist unmittelbar als Umsatzverluste niederschlagen. Es ist also noch ein langer Weg zum optimalen Kundenerlebnis.

Ubuntu unterstützt Oracle Cloud Infrastructure Ampere A1 Compute

Gemeinsam mit Oracle kündigt Canonical ein optimiertes Ubuntu-Image zum Launch der Oracle Cloud Infrastructure (OCI) Ampere-A1-Compute-Plattform an. Oracle-Cloud-Kunden profitieren davon, Ubuntu, das beliebteste Cloud-Betriebssystem, auf einer sicheren, skalierbaren und äußerst kosteneffizienten Infrastruktur auszuführen. »Ubuntu auf der Oracle Cloud Infrastructure Ampere A1 Compute bietet eine leistungsstarke und kostengünstige Lösung für alle Arten von Workloads. Mit Ubuntu…

Checkmarx ist Leader im Gartner Magic Quadrant für Application Security Testing 2021

Checkmarx, Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, gibt bekannt, dass das Unternehmen im Gartner Magic Quadrant for Application Security Testing 2021 im vierten Jahr in Folge als »Leader« eingestuft wurde. Im Report würdigt Gartner Checkmarx für die ganzheitliche Vision und die hohe Umsetzungskompetenz im Markt für das Application Security Testing (AST).   Laut den Autoren des Reports »hat…

Zusammenarbeit und Kommunikation neu gedacht mit Microsoft Teams

Das Home-Office ist aus der Unternehmenslandschaft nicht mehr wegzudenken. Es ist ein Stück Normalität geworden und wird auch nach Ende der Pandemie weiter bestehen. Jetzt ist es an der Zeit, überhastet eingeführte Strukturen auf sichere Beine zu stellen. Insbesondere mittelständische Unternehmen hat das plötzliche Hereinbrechen der Corona-Pandemie vor große Herausforderungen gestellt.   Hybrides Arbeiten wird…

Geschützt zusammenarbeiten an dezentralen Arbeitsplätzen dank Microsoft 365 und Microsoft Teams

Die überstürzte Einrichtung von dezentralen Arbeitsplätzen im Zuge der Covid-19-Pandemie hat vielerorts zu einer mangelhaften Sicherheitslage geführt. Darüber hinaus müssen Unternehmen auch auf die Einhaltung von Datenschutzregeln und die Privatsphäre ihrer Mitarbeitenden achten. Die Corona-Pandemie hat geschafft, was jahrelange Bemühungen vergeblich versucht haben: Ein großer Teil der Mitarbeiterinnen und Mitarbeiter der Unternehmen ist ins Home…

Cybersicherheit: 150 Millionen Angriffs-E-Mails in 2020

Cloud Services von Microsoft und Google als perfekte Plattformen für Attacken von Cyberkriminellen. Fast 60 Millionen Angriffs-Mails via Microsoft 365 und 90 Millionen via Google – das ist die erschreckende Bilanz, die der US-Cybersecurity-Spezialist Proofpoint jetzt nach einer Analyse der Cyberbedrohungen für 2020 veröffentlicht hat [1]. Cyberkriminelle nutzen ganz offensichtlich die umfangreiche Funktionalität und nahezu grenzenlose…

Logicalis GmbH: Mit der Production Ready Cloud Platform schnell und sicher in die Cloud

Cloud-Baukasten ermöglicht zügige und sichere Implementierung der Azure Cloud. Logicalis, internationaler Anbieter von IT-Lösungen und Managed Services, hat mit der Production Ready Cloud Platform (PRCP) einen standardisierten Cloud-Baukasten entwickelt, mit dem Unternehmen den Weg in die Cloud zuverlässig und strukturiert beschreiten können. »Beim Weg in die Cloud gibt es viele Aspekte zu berücksichtigen. Viele Projekte…

Interview mit Lars Knoll, Chief Architect bei Qt über die Übernahme der froglogic GmbH

Wie sind Sie auf die froglogic GmbH aufmerksam geworden? War es von großer Bedeutung, dass es ein deutsches Unternehmen war? Welche Erfolgsfaktoren waren am wichtigsten? froglogic ist ein langjähriger Partner der Qt Company.  Der Haupterfolgsfaktor ist, dass es eine offensichtliche Übereinstimmung zwischen den beiden Unternehmen gibt; die Qt Company ist ein globales Softwareunternehmen, das es…

Checkmarx schützt Cloud-native Anwendungen mit neuer Scanning-Lösung für Infrastructure-as-Code (IaC)

Open-Source-basierte IaC-Scan-Engine ermöglicht es Entwicklern als branchenweit umfangreichste Plattform, Konfigurationsprobleme zu identifizieren und zu beheben.   Checkmarx, Anbieter im Bereich Software-Security für DevOps, bietet mit KICS (Keeping Infrastructure as Code Secure) eine neue, Open-Source-basierte Lösung für statische Analysen, die es Entwicklern ermöglicht, Infrastructure-as-Code (IaC) sicher zu entwickeln. Mit KICS baut Checkmarx sein AST-Portfolio weiter aus…

Zscaler erweitert Zero-Trust-Security-Portfolio um ZPA Private Service Edge und Browser Isolation

Innovationen der Zero-Trust-Exchange-Plattform, Ressourcen und Best Practises überwinden die Hürden der Einführung von Zero Trust und beschleunigen die digitale Transformation. Zscaler, Anbieter von Cloud-Sicherheit, kündigt Innovationen für die Zscaler Zero-Trust-Exchange-Plattform an und rundet das Portfolio durch neue Angebote zur Sicherung digitaler Unternehmen ab. Neue Sicherheitslösungen, Ressourcen für IT-Führungskräfte sowie Implementierungsleitfäden zur Beschleunigung der Zero-Trust-Adaption werden…

Entwicklung agiler Arbeitsweisen: Der Ausbau der Agilität gelingt nur mit Wissen um den Status Quo

Angesichts der zunehmend dynamischen Entwicklung von Märkten, Kundenanforderungen und technologischen Möglichkeiten setzen mehr und mehr Unternehmen agile Arbeitsmethoden ein. Denn gerade für komplexe Aufgaben in der Produktentstehung und Produktentwicklung, erweisen sich die besondere Effizienz, Flexibilität und Schnelligkeit der agilen Methoden als deutliche Vorteile. Einsatzgebiete und Zielsetzungen erstrecken sich von ersten, begrenzten Pilotprojekten über die agile…

Wie sich mit der richtigen Visualisierung für mehr Agilität in der Produktentwicklung sorgen lässt – Ein Quantum Agilität

Je dynamischer die Welt um uns herum wird, umso flexibler müssen nicht nur wir selbst werden, sondern auch unsere Prozesse. Das gilt insbesondere für die Entwicklung neuer Produkte. Wie wichtig diese Agilität ist, hat die Corona-Pandemie schmerzlich verdeutlicht: Unternehmen, die zu langsam auf die corona-bedingten Veränderungen reagieren, haben inzwischen schlechte Zukunftsaussichten. Aber es gibt einfache Möglichkeiten, Prozesse so zu gestalten, dass sie ein Maximum an Flexibilität bieten. Beispielhaft sei im Folgenden beschrieben, worauf bei einer agilen Produktentwicklung zu achten ist.