Rollen der Software-Entwicklungsteams ändern sich

Veränderte Zuständigkeiten: Fast 70 % der Operations-Teams bestätigen, dass Entwickler ihre eigenen Umgebungen bereitstellen können.

 

grafik (c) gitlab

Die aktuelle DevSecOps-Umfrage von GitLab zeigt, wie sich die Rollen in Software-Entwicklungsteams verändert haben, seit immer mehr Teams DevOps nutzen [1]. Die Umfrage unter mehr als 3650 Teilnehmern aus 21 Ländern weltweit ergab, dass der zunehmende Einsatz von DevOps und die Implementierung neuer Tools zu weitreichenden Veränderungen der Tätigkeitsbereiche, der Auswahl an Tools sowie der Organigramme innerhalb der Arbeitsteams von Entwicklern, Sicherheitsexperten und Operations-Teams geführt haben.

 

Anzeige

»Die diesjährige globale DevSecOps-Umfrage zeigt, dass es mehr erfolgreiche DevOps-Nutzer in der Praxis gibt als je zuvor. Sie berichten von drastisch verkürzten Freigabezyklen, von einer echten kontinuierlichen Integration und Bereitstellung sowie von Fortschritten beim »Shift Left«, hinsichtlich der Test- und Sicherheitsmaßnahmen im Entwicklungszyklus«, erklärt Sid Sijbrandij, CEO und Gründungsmitglied von GitLab. »Dennoch bleibt noch viel zu tun, insbesondere in den Bereichen Tests und Sicherheit. Wir antizipieren Verbesserungen bei der Zusammenarbeit und beim Testen zwischen den Teams, wenn diese sich auf die Nutzung neuer Technologien einstellen und die Tätigkeitsbereiche dadurch ineinander fließen.«

 

Michael Friedrich, Developer Evangelist bei GitLab sagt dazu: »Der DevSecOps-2020-Bericht zeigt, dass sich die Rollen ändern. Entwickler sind mit leistungsstarken Tools wie automatisierter Code-Sicherheit und Dependency-Scanning ausgestattet worden. Site-Reliability-Engineering-Teams (SRE) können die Verwaltung von Zugangsdaten und Passwörtern einfacher in den DevSecOps-Workflow integrieren. Monitoring hat sich von CI/CD-Pipelines zu Application-Performance-Monitoring in verteilten und hochverfügbaren Umgebungen verlagert und ermöglicht Gesundheits- und Performance-Reporting auf Git-Commit-Basis. Auch die DACH-Region beginnt, die Leistungsfähigkeit von Kubernetes und Cloud-Native-Microservices zu erkennen. Mit all den Verbesserungen werden wir in Zukunft mehr automatisierte Deployments in Produktion sehen.«

Anzeige

 

Die Welt für Entwickler, Operations- und Sicherheitsteams ändert sich gerade, und das gilt sowohl für Rollen und Zuständigkeiten als auch für Technologieentscheidungen, welche die DevOps-Praktiken verbessern und die Freigabezyklen beschleunigen. Wenn DevOps richtig umgesetzt wird, kann das Unternehmensergebnis deutlich verbessert werden. Allerdings gibt es vor dem Erreichen echter DevSecOps-Workflows immer noch Hindernisse zu überwinden.

 

Die sich verändernde Rolle des Entwicklers.

Jedes Unternehmen ist heute ein Software-Unternehmen. Für die Steigerung des Unternehmenserfolgs ist es deshalb noch wichtiger, dass die Teams verstehen, wie sich die Rolle des Entwicklers verändert und wie sich dies auf die Sicherheit, den Betrieb und die Zuständigkeiten der Testteams auswirkt. GitLab hat herausgefunden, dass die Grenzen zwischen Entwickler und Operations-Teams verschwimmen, weil 35 % der Entwickler angeben, die Infrastruktur für ihre Anwendung selbst zu definieren oder sogar zu erstellen. 14 % übernehmen sogar die Rolle, diese Infrastruktur zu überwachen und auf diese zu reagieren – eine Rolle, die traditionell zum Bereich Operations gehört. Darüber hinaus setzen über 18 % der Entwickler Code für die Produktionsüberwachung ein, und 12 % dienen als Anlaufstelle bei Zwischenfällen.

 

Die Akzeptanz von DevOps ist ebenfalls gestiegen. 25 % der Unternehmen verfügen schon über drei bis fünf Jahre Erfahrung mit DevOps, während weitere 37 % erst zwischen einem und drei Jahren Erfahrung damit haben. Im Rahmen der Implementierung erkennen viele auch die Vorteile der kontinuierlichen Bereitstellung: Fast 60 % stellen Aktualisierungen mehrmals täglich, einmal täglich oder einmal alle paar Tage bereit (gegenüber 45 % im letzten Jahr). Immer mehr Teams gewöhnen sich daran, DevOps in ihrer Arbeit einzusetzen. Dadurch beginnen sich die Rollen in den Software-Entwicklungsteams zu verschieben, weil sich die Zuständigkeiten stärker überschneiden. 70 % der Operations-Teams berichten, dass Entwickler ihre eigenen Umgebungen bereitstellen und nutzen können. Dies zeigt, dass sich die Zuständigkeiten durch neue Abläufe und andere Technologien verlagern.

 

Unklare Zuständigkeiten bei Sicherheitsteams.

Entwickler und Sicherheitsteams arbeiten nach wie vor ziemlich getrennt voneinander, wobei unklar ist, wer am Ende für die Sicherheit verantwortlich sein sollte. Mehr als 25 % der Entwickler gaben an, sich allein für die Sicherheit verantwortlich zu fühlen, bei den Testern und Betriebsfachkräften waren es nur 23 % beziehungsweise 21 %.

 

Bei den Sicherheitsteams ist die Antwort hierauf eher unklar: 33 % der Mitarbeiter in Sicherheitsteams gaben an, dass sie selbst für die Sicherheit verantwortlich sind, während 29 % (also fast gleich viele) angaben, dass alle Beteiligten gemeinsam für die Sicherheit verantwortlich sein sollten. Die Sicherheitsteams berichten weiterhin, dass die Entwickler in den allerersten Phasen der Entwicklung nicht genügend Software-Bugs finden und die Behebung dieser Fehler für sie nur eine niedrige Priorität hat. Dieses Ergebnis stimmt mit der letztjährigen Umfrage überein. Mehr als 42 % finden, dass Tests immer noch zu spät im Lebenszyklus stattfinden. 36 % finden es schwierig, entdeckte Schwachstellen zu verstehen, zu verarbeiten und zu beheben und 31 % halten die Priorisierung der Beseitigung von Schwachstellen für sehr mühsam.

 

»Obwohl ›Shift Left‹ branchenweit gewünscht wird, zeigen unsere Untersuchungen, dass mehr Klarheit über den Wandel der Team-Zuständigkeiten im Alltag erforderlich ist, denn dies hat am Ende Auswirkungen auf die Sicherheitsanstrengungen der gesamten Organisation«, erläutert Johnathan Hunt, Vizepräsident für Sicherheit bei GitLab. »Sicherheitsteams müssen konkrete Prozesse für die Einführung neuer Werkzeuge und Implementierungen umsetzen, um die Entwicklungseffizienz und die Sicherheitsfähigkeiten zu erhöhen.«

 

Neue Technologien beschleunigen Freigabezyklen, aber schaffen Engpässe in anderen Bereichen.

Für Entwicklungsteams sind Geschwindigkeit und Softwareveröffentlichungen entscheidend. GitLab fand heraus, dass fast 83 % der Entwickler nach der Einführung von DevOps neuen Code schneller freigeben können. Kontinuierliche Integration und Bereitstellung (CI/CD = Continuous Integration and Continuous Delivery) trägt nachweislich auch dazu bei, die Zeit für die Entwicklung und Bereitstellung von Anwendungen zu verkürzen. 38 % gaben an, dass ihre DevOps-Implementierungen CI/CD umfassen. Weitere 29 % gaben an, dass ihre DevOps-Implementierungen Testautomatisierung beinhalten, 16 % auch DevSecOps und fast 9 % nutzen Multi-Cloud.

 

Mitwirkende und Kunden von GitLab sehen bereits den Unterschied: »Im Laufe des letzten Jahres hat Ubitech CI/CD-Praktiken für neue und laufende Projekte innerhalb der Organisation in mehreren Teams eingeführt«, so George Tsiolis, technischer Leiter bei Ubitech und zentraler Mitarbeiter von GitLab. »Bisher hat die Implementierung von CI/CD zu verstärkten Testanstrengungen und häufigeren Implementierungen geführt. Es hat unserem Team auch neue Erkenntnisse geliefert, die uns potenzielle Schwachstellen vor und nach der Implementierung unserer Anwendungen erkennen ließen.«

 

Trotzdem hat sich das Testen nach Ansicht von 47 % der Befragten das zweite Jahr in Folge als wichtigster Engpass herausgestellt. Automatisierte Tests sind zwar auf dem Vormarsch, aber nur 12 % geben an, eine vollständige Testautomatisierung zu nutzen. Und während 60 % der Unternehmen berichten, dass sie mehrmals am Tag, einmal am Tag oder einmal alle paar Tage Aktualisierungen bereitstellen, finden über 42 %, dass die Tests zu spät im Entwicklungslebenszyklus stattfinden.

 

Zwar wurden Fortschritte bei der Umsetzung der DevOps-Praktiken erzielt, doch im Hinblick auf die Rationalisierung der Zusammenarbeit zwischen Sicherheits-, Entwickler- und Operations-Teams bleibt noch mehr zu tun.

 

[1] Der vollständige Bericht ist hier zu finden: https://about.gitlab.com/developer-survey/
Methodik: GitLab befragte zwischen Januar und Februar 2020 mehr als 3650 Software-Profis aus 21 Ländern. Die Fehlerquote beträgt 2 % (bei angenommenen 26,4 Millionen Software-Profis und 95 Prozent Konfidenzniveau).

 

117 Artikel zu „DevSecOps“

In 6 Schritten zu DevSecOps

Während DevOps schon weitverbreitet ist, erkennen nun immer mehr Unternehmen, dass es entscheidend ist, nicht nur Entwicklung und Betrieb enger zu verzahnen, sondern, dass man auch Sicherheit immer von Anfang an mitdenken sollte. Dem trägt der DevSecOps-Ansatz Rechnung. Doch ebenso wie DevOps, ist dieser Ansatz kein Produkt, das man kauft, oder eine Lösung, die man…

Cybersicherheit und Container – So funktioniert die Umstellung auf DevSecOps

Die schnelle Einführung von Containern im Unternehmen sind eine einzigartige Gelegenheit dar, die generelle Sicherheitsstrategie zu verändern. Container stellen eine gute Möglichkeit dar, die Kluft zwischen Entwicklungs- und Sicherheitsteams zu überbrücken. Ist es möglich, dass Container das Unternehmen einen Schritt näher an DevSecOps heranbringen? Palo Alto Networks nimmt das Thema unter die Lupe. Computing hat…

DevSecOps: Unternehmen müssen umdenken, um in der Softwareentwicklung erfolgreich zu sein

Hindernis für die Integration von Sicherheit in die gesamte Softwareentwicklung sei laut der weltweiten Studie die bestehende Unternehmenskultur.   Im Zentrum der weltweiten Studie »Integrating Security into the DNA of Your Software Lifecycle« von CA Technologies stand die Frage, wie sich die Kultur eines Unternehmens auf dessen Fähigkeit auswirkt, Sicherheit in den gesamten Software-Entwicklungsprozess einzubinden.…

DevSecOps: Wie sich Microservices auf die Anwendungssicherheit auswirken

Die Architektur von Software verändert sich grundlegend – Microservices sind auf dem Vormarsch. Drei zentrale Herausforderungen, die das für die Anwendungssicherheit mit sich bringt. Microservices sind im Software Development schon seit mehreren Jahren auf dem Vormarsch. Viele kleine Services anstatt einzelner monolithischer Applikationen zu entwickeln, bietet in der Tat zahlreiche Vorzüge. Eine kleine Auswahl der…

Automatisierte und ständig neue Angriffsmethoden lassen die Zahl der Cyberattacken in die Höhe schnellen

Der Technologiesektor löst zum ersten Mal den Finanzbereich an der Spitze der am stärksten angegriffenen Branchen ab, gleichzeitig nutzen Cyberkriminelle die Covid-19-Pandemie für ihre Aktivitäten aus.   NTT Ltd., ein Technologie-Dienstleister, hat seinen 2020 Global Threat Intelligence Report (GTIR) veröffentlicht. Der neue GTIR zeigt, dass die Angreifer trotz aller Anstrengungen von Unternehmen und Organisationen, ihre…

Compliance: 5 Gründe, warum die Nachvollziehbarkeit von Entscheidungen so wichtig ist

Compliance stellt Banken heute vor derartige Herausforderungen, dass sie dem mit menschlicher Arbeitskraft allein nicht mehr gewachsen sind. Zahlreiche neue Gesetze und Verordnungen und gleichzeitig immer professioneller werdende kriminelle Aktivität machen die Arbeit von Compliance-Abteilungen zunehmend komplexer. Unterstützung durch künstliche Intelligenz (KI) in Form von Machine Learning (ML) kommt da wie gerufen, um bei der…

Datenschutz – Zunehmende DSGVO-Geldbußen rücken »Privacy by Design« ins Interesse

Der Datenschutz hat sich seit der Einführung der Datenschutzgrundverordnung (DSGVO) in der Europäischen Union im Jahr 2018 zu einem der heißesten Themen in den Vorstandsetagen entwickelt. Einige Unternehmen haben dennoch immer noch damit zu kämpfen, die richtigen Strategien zum Schutz der Daten ihrer Kunden zu finden, wie Palo Alto Networks beobachtet.   Die DSGVO gibt…

SBBS besser als Corona-Bonds

Abhängigkeit von Banken und EU-Staaten ist nach wie vor sehr hoch. Banken haben noch immer einen Anreiz, vor allem Staatsanleihen ihres Heimatlandes zu kaufen. Der sogenannte Home Bias hat sich daher in vielen EU-Ländern kaum zurückgebildet. Sollten Banken verpflichtet werden, Staatstitel mit Eigenkapital zu hinterlegen, würde sich Problem der geringen Streuung in den Anleiheportfolios sogar…

Smart Working und Cybersicherheit: Eine schwierige Kombination

Fernarbeit, Home Office, Smart Working: Aufgrund der jüngsten Ereignisse greifen immer mehr Unternehmen darauf zu. Doch schon davor hat sich diese Praxis auch bei Arbeitskräften immer größerer Beliebtheit erfreut, und je nach Branche befindet sich das Arbeiten von zu Hause aus in einer Phase großen Aufschwungs. Ein Trend, der allerdings Vorsichtsmaßnahmen seitens der Unternehmen erfordert,…

Managed Security Services: Von diesen 5 Mythen sollten Sie sich nicht beirren lassen

Cyberangriffe nehmen zu. Auch der Mittelstand steht verstärkt im Visier der Hacker. Doch für ausreichenden Schutz zu sorgen, wird immer komplexer. Managed Security Services können Abhilfe schaffen. Wolfgang Kurz, CEO und Founder indevis, räumt mit den häufigsten Vorurteilen auf.   Mit der zunehmenden Digitalisierung steigt das Risiko für Cyberangriffe. Nicht nur große Unternehmen sind davon…

Home Office: In Quarantäne sicher von zu Hause aus arbeiten

Wie Unternehmen in der »Corona-Krise« Notfallarbeitsplätze für Mitarbeiter bereitstellen können, ohne dabei IT-Sicherheitsrisiken eingehen zu müssen. Die aktuelle Situation rund um das neuartige Coronavirus Covid-19 stellt viele Unternehmen und Behörden vor Herausforderungen. Vielerorts gilt es, sich auf mögliche Quarantäne-Maßnahmen vorzubereiten und für eine große Anzahl an Mitarbeiterinnen und Mitarbeitern Notfall- beziehungsweise Heimarbeitsplätze bereitzustellen. ECOS Technology,…

Die größten Kostenfallen in der Softwareentwicklung  … und was man dagegen tun kann

Die New Economy der frühen 2000er kündigte sich noch mit einem Donnerschlag an – man denke nur an die Fintechs, die mit ihrer technologiegetriebenen Entwicklung angetreten sind, den Finanzsektor auf den Kopf zustellen. Weitgehend unbemerkt erreicht diese Revolution mittlerweile auch die traditionellen Branchen. So hat selbst Volkswagen angekündigt, seine Marke in Zukunft über die Software…

»Size Matters« – jedenfalls bei der Nutzung von Open Source in Unternehmen 

»Zuerst die gute Nachricht« heißt es einleitend im Open Source Monitor [1]. Fast 70 % der befragten Unternehmen in Deutschland setzen Open-Source-Lösungen ein. Diese Zahl steigt drastisch an, wenn sich Unternehmen an der Schwelle zum Großunternehmen befinden. Sieben von zehn Unternehmen mit 200 bis 499 Beschäftigten geben an Open-Source-Software einzusetzen. Drei Viertel der Firmen mit…

Sechs Schritte zur Sicherheit in der AWS Cloud

Wer hat auf was Zugriff? Wie wird kontrolliert, wer Zugriff hat? Und an welchen Stellen sind im Falle eines Cyberangriffs welche Maßnahmen einzuleiten? Die Zahl der Unternehmen, die auf die Vorteile einer Cloud-Infrastruktur von AWS setzen, wächst rasant. Unternehmen aller Größenordnungen sind dabei jedoch im Zuge der Shared Responsibility für einen Teil der IT-Sicherheit ihrer…

Compliance: Kollege Computer als Kompagnon

Sechs Ansatzpunkte, die die Einhaltung externer und interner Regularien im Mittelstand erleichtern.   Gesetze, Verordnungen und andere Regelwerke vermehren sich beständig, sie wachsen und gedeihen. Manuell lässt sich die Befolgung sämtlicher Regularien nicht mehr prüfen, geschweige denn dokumentieren. Der ERP-Lösungsanbieter proALPHA zeigt in sechs Beispielen, wie ein ERP-System die Compliance wesentlich erleichtern kann. EU-Verordnungen, Bundes-…

5 wichtige Schritte auf dem Weg zu DevOps

  Um die Business Transformation eines Unternehmens erfolgreich umzusetzen, benötigt man bei der Implementierung eine agile IT, die auf Basis eines DevOps-Modells arbeitet. Zu diesem Ergebnis kommt eine aktuelle IDC-Studie, die vom IT-Dienstleister Consol unterstützt wurde. Auf dem Weg dahin sollten Unternehmen allerdings einige Schritte beachten.   Die Nutzung von DevOps setzt sich durch –…

Cybersicherheit 2020: Vier konkrete Bedrohungsszenarien

Jedes Jahr erstellen die Experten von Stormshield eine Analyse der Tendenzen, die sich für das angebrochene Jahr abzeichnen. Auf den Prüfstand stellt der Hersteller dabei selbst schwache Angriffssignale aus dem Vorjahr, die jüngsten Branchenanalysen und die Meinungen seiner Sicherheitsspezialisten. Daraus resultiert 2020 ein Ausblick mit vier Hypothesen und Szenarien, die alles andere als realitätsfremd sind.…