Illustration Absmeier Foto Checkmarx (c)

Viele Unternehmen setzen auf bessere Developer Experience im AppSec-Bereich, Konsens über optimale DevSecOps-Workflows und -KPIs besteht jedoch nicht.

Checkmarx stellt seine Studie »DevSecOps Evolution: from DevEx to DevSecOps« vor, die die aktuellen Praktiken von Entwicklungsteams in großen Unternehmen auf dem Weg zu ausgereiftem DevSecOps untersucht. Die Studie kommt zu dem Ergebnis, dass Development- und Security-Teams Fortschritte auf ihrer DevSecOps-Reise machen, aber noch an der Abstimmung von Workflows und KPIs arbeiten müssen.

»Die sprunghafte Zunahme von DevOps-Teams und -Pipelines in großen Unternehmen unterstreicht, wie wichtig es ist, dass DevOps- und Security-Teams eine gemeinsame Kultur für eine erfolgreiche Zusammenarbeit etablieren«, erklärt Martin Lindsay, Vice President of Regional Marketing bei Checkmarx. »Mit dem Ziel vor Augen, leistungsstarken Code – der per Definition sicherer Code ist – zu liefern, erkennen diese beiden Teams, dass die Verbesserung der Developer Experience im AppSec-Bereich nur der erste Schritt ist und dass Security einen Weg finden muss, mit dem Tempo agiler Softwareentwicklung Schritt zu halten.«

Die im Zuge der DevSecOps-Evolution-Studie gewonnen Erkenntnisse belegen, dass Entwickler in großen Unternehmen zunehmend Vertrauen in das im Rahmen von Security-Trainings erworbene Know-how haben und dass sie einen beträchtlichen Teil ihrer Zeit mit Security-Tasks verbringen:

21 Prozent der befragten Entwickler geben an, dass Security beim Coding höchste Priorität hat
99,6 Prozent der Entwickler haben Zugang zu Security-Training; 90 Prozent davon bewerten die Effektivität des Trainings als mittel oder hoch
41,53 Prozent der befragten Entwickler geben an, dass sie die ihnen zugewiesenen Tickets verstehen und in 41 bis 60 Prozent der Fälle wissen, wie sich die Schwachstelle zur Laufzeit manifestiert
72 Prozent der Entwickler verbringen mehr als 17 Stunden pro Woche mit Security-Tasks, jeder Vierte sogar mehr als 25 Stunden

Das Checkmarx-DevSecOps-Reifegradmodell trackt den Fortschritt von Unternehmen auf dem Weg von traditionellem DevOps zu DevSecOps in vier Phasen:

Phase 0 – Reaktive Security: AppSec ist an die Entwicklung »angeflanscht«, wird zum Bottleneck und verzögert das Deployment.
Phase 1 – Security-orientiert: AppSec findet Schwachstellen und leitet sie an Entwickler weiter, die mit Alerts bombardiert werden, ohne Handlungsempfehlungen zu deren Behebung.
Phase 2 – DevEx-orientiert: Tools sind in die IDE integriert, sodass Entwickler Schwachstellen flankiert von Handlungsempfehlungen beheben können, ohne ihren Workflow zu unterbrechen.
Stufe 3 – Ausgereiftes DevSecOps: Die DevSecOps-Kultur ist gut etabliert; Security- und Development-Teams sind sich in puncto Policies, Governance und Zusammenarbeit einig; Training wird bei Bedarf und innerhalb der IDE angeboten; Ziele und KPIs sind definiert und abgestimmt.

Die Checkmarx-Studie kommt zu dem Ergebnis, dass die meisten großen Unternehmen auf ausgereiftes DevSecOps hinarbeiten und sich dazu committen:

30 Prozent konzentrieren sich über die reine Developer Experience hinaus darauf, ausgefeiltere Prozesse zu etablieren
28,3 Prozent der Unternehmen tracken die Mean Time to Remediate als KPI
45 Prozent tracken die Code-Sicherheit
46,27 Prozent tracken ihre Termintreue

Die allgemeine Marktreife befindet sich noch in einem frühen Stadium und die Checkmarx Studie zeigt, dass etablierte Best Practices zur Umsetzung und Messung von effektivem DevSecOps noch nicht flächendeckend Anwendung finden. Obwohl Unternehmen bereits Fortschritte gemacht haben, gibt es noch Verbesserungspotenzial.

[1] Für die Studie wurden 1.500 Heads of Development, Platform Engineers und Entwickler/Softwareingenieuren in großen Unternehmen mit einem Jahresumsatz von mehr als 750.000.000 US-Dollar in Nordamerika (USA), Europa (Großbritannien, Frankreich, Deutschland, Österreich, Schweiz) und APAC (Australien, Neuseeland, Singapur) befragt. Die Befragung wurde von Censuswide im Dezember 2024 durchgeführt. Censuswide orientiert sich an der Market Research Society, die auf den Prinzipien des ESOMAR-Kodex basiert, und beschäftigt deren Mitglieder.

Interessierte Leserinnen und Leser können den DevSecOps Evolution Report hier herunterladen. https://checkmarx.com/evolution-devsecops/?utm_source=press_release&utm_medium=referral&utm_campaign=devsec_ops_revolution

530 Artikel zu „DevSecOps“

Trends 2025 | News | Business | Künstliche Intelligenz

Trends 2025: GenAI & Anwendungsmodernisierung, ROI-Messung von KI und DevSecOps

7. Januar 2025

Experten von GitLab prognostizieren maßgeschneiderte KI-Modelle on-premises, KI-Modelle von Open-Source-Projekten, ein Überdenken des Risikomanagements bei der Nutzung von KI, die wirtschaftliche Modernisierung von Anwendungen im großen Stil, die Verabschiedung isolierter KI-Anwendungen, die Erhöhung der Sicherheit bei DevOps und KI-Agenten als Katalysatoren für die Transformation der Software-Lieferkette. Ashley Kramer Chief Sales & Marketing Officer und…