Veränderte Zuständigkeiten: Fast 70 % der Operations-Teams bestätigen, dass Entwickler ihre eigenen Umgebungen bereitstellen können.

grafik (c) gitlab

Die aktuelle DevSecOps-Umfrage von GitLab zeigt, wie sich die Rollen in Software-Entwicklungsteams verändert haben, seit immer mehr Teams DevOps nutzen [1]. Die Umfrage unter mehr als 3650 Teilnehmern aus 21 Ländern weltweit ergab, dass der zunehmende Einsatz von DevOps und die Implementierung neuer Tools zu weitreichenden Veränderungen der Tätigkeitsbereiche, der Auswahl an Tools sowie der Organigramme innerhalb der Arbeitsteams von Entwicklern, Sicherheitsexperten und Operations-Teams geführt haben.

»Die diesjährige globale DevSecOps-Umfrage zeigt, dass es mehr erfolgreiche DevOps-Nutzer in der Praxis gibt als je zuvor. Sie berichten von drastisch verkürzten Freigabezyklen, von einer echten kontinuierlichen Integration und Bereitstellung sowie von Fortschritten beim »Shift Left«, hinsichtlich der Test- und Sicherheitsmaßnahmen im Entwicklungszyklus«, erklärt Sid Sijbrandij, CEO und Gründungsmitglied von GitLab. »Dennoch bleibt noch viel zu tun, insbesondere in den Bereichen Tests und Sicherheit. Wir antizipieren Verbesserungen bei der Zusammenarbeit und beim Testen zwischen den Teams, wenn diese sich auf die Nutzung neuer Technologien einstellen und die Tätigkeitsbereiche dadurch ineinander fließen.«

Michael Friedrich, Developer Evangelist bei GitLab sagt dazu: »Der DevSecOps-2020-Bericht zeigt, dass sich die Rollen ändern. Entwickler sind mit leistungsstarken Tools wie automatisierter Code-Sicherheit und Dependency-Scanning ausgestattet worden. Site-Reliability-Engineering-Teams (SRE) können die Verwaltung von Zugangsdaten und Passwörtern einfacher in den DevSecOps-Workflow integrieren. Monitoring hat sich von CI/CD-Pipelines zu Application-Performance-Monitoring in verteilten und hochverfügbaren Umgebungen verlagert und ermöglicht Gesundheits- und Performance-Reporting auf Git-Commit-Basis. Auch die DACH-Region beginnt, die Leistungsfähigkeit von Kubernetes und Cloud-Native-Microservices zu erkennen. Mit all den Verbesserungen werden wir in Zukunft mehr automatisierte Deployments in Produktion sehen.«

Die Welt für Entwickler, Operations- und Sicherheitsteams ändert sich gerade, und das gilt sowohl für Rollen und Zuständigkeiten als auch für Technologieentscheidungen, welche die DevOps-Praktiken verbessern und die Freigabezyklen beschleunigen. Wenn DevOps richtig umgesetzt wird, kann das Unternehmensergebnis deutlich verbessert werden. Allerdings gibt es vor dem Erreichen echter DevSecOps-Workflows immer noch Hindernisse zu überwinden.

Die sich verändernde Rolle des Entwicklers.

Jedes Unternehmen ist heute ein Software-Unternehmen. Für die Steigerung des Unternehmenserfolgs ist es deshalb noch wichtiger, dass die Teams verstehen, wie sich die Rolle des Entwicklers verändert und wie sich dies auf die Sicherheit, den Betrieb und die Zuständigkeiten der Testteams auswirkt. GitLab hat herausgefunden, dass die Grenzen zwischen Entwickler und Operations-Teams verschwimmen, weil 35 % der Entwickler angeben, die Infrastruktur für ihre Anwendung selbst zu definieren oder sogar zu erstellen. 14 % übernehmen sogar die Rolle, diese Infrastruktur zu überwachen und auf diese zu reagieren – eine Rolle, die traditionell zum Bereich Operations gehört. Darüber hinaus setzen über 18 % der Entwickler Code für die Produktionsüberwachung ein, und 12 % dienen als Anlaufstelle bei Zwischenfällen.

Die Akzeptanz von DevOps ist ebenfalls gestiegen. 25 % der Unternehmen verfügen schon über drei bis fünf Jahre Erfahrung mit DevOps, während weitere 37 % erst zwischen einem und drei Jahren Erfahrung damit haben. Im Rahmen der Implementierung erkennen viele auch die Vorteile der kontinuierlichen Bereitstellung: Fast 60 % stellen Aktualisierungen mehrmals täglich, einmal täglich oder einmal alle paar Tage bereit (gegenüber 45 % im letzten Jahr). Immer mehr Teams gewöhnen sich daran, DevOps in ihrer Arbeit einzusetzen. Dadurch beginnen sich die Rollen in den Software-Entwicklungsteams zu verschieben, weil sich die Zuständigkeiten stärker überschneiden. 70 % der Operations-Teams berichten, dass Entwickler ihre eigenen Umgebungen bereitstellen und nutzen können. Dies zeigt, dass sich die Zuständigkeiten durch neue Abläufe und andere Technologien verlagern.

Unklare Zuständigkeiten bei Sicherheitsteams.

Entwickler und Sicherheitsteams arbeiten nach wie vor ziemlich getrennt voneinander, wobei unklar ist, wer am Ende für die Sicherheit verantwortlich sein sollte. Mehr als 25 % der Entwickler gaben an, sich allein für die Sicherheit verantwortlich zu fühlen, bei den Testern und Betriebsfachkräften waren es nur 23 % beziehungsweise 21 %.

Bei den Sicherheitsteams ist die Antwort hierauf eher unklar: 33 % der Mitarbeiter in Sicherheitsteams gaben an, dass sie selbst für die Sicherheit verantwortlich sind, während 29 % (also fast gleich viele) angaben, dass alle Beteiligten gemeinsam für die Sicherheit verantwortlich sein sollten. Die Sicherheitsteams berichten weiterhin, dass die Entwickler in den allerersten Phasen der Entwicklung nicht genügend Software-Bugs finden und die Behebung dieser Fehler für sie nur eine niedrige Priorität hat. Dieses Ergebnis stimmt mit der letztjährigen Umfrage überein. Mehr als 42 % finden, dass Tests immer noch zu spät im Lebenszyklus stattfinden. 36 % finden es schwierig, entdeckte Schwachstellen zu verstehen, zu verarbeiten und zu beheben und 31 % halten die Priorisierung der Beseitigung von Schwachstellen für sehr mühsam.

»Obwohl ›Shift Left‹ branchenweit gewünscht wird, zeigen unsere Untersuchungen, dass mehr Klarheit über den Wandel der Team-Zuständigkeiten im Alltag erforderlich ist, denn dies hat am Ende Auswirkungen auf die Sicherheitsanstrengungen der gesamten Organisation«, erläutert Johnathan Hunt, Vizepräsident für Sicherheit bei GitLab. »Sicherheitsteams müssen konkrete Prozesse für die Einführung neuer Werkzeuge und Implementierungen umsetzen, um die Entwicklungseffizienz und die Sicherheitsfähigkeiten zu erhöhen.«

Neue Technologien beschleunigen Freigabezyklen, aber schaffen Engpässe in anderen Bereichen.

Für Entwicklungsteams sind Geschwindigkeit und Softwareveröffentlichungen entscheidend. GitLab fand heraus, dass fast 83 % der Entwickler nach der Einführung von DevOps neuen Code schneller freigeben können. Kontinuierliche Integration und Bereitstellung (CI/CD = Continuous Integration and Continuous Delivery) trägt nachweislich auch dazu bei, die Zeit für die Entwicklung und Bereitstellung von Anwendungen zu verkürzen. 38 % gaben an, dass ihre DevOps-Implementierungen CI/CD umfassen. Weitere 29 % gaben an, dass ihre DevOps-Implementierungen Testautomatisierung beinhalten, 16 % auch DevSecOps und fast 9 % nutzen Multi-Cloud.

Mitwirkende und Kunden von GitLab sehen bereits den Unterschied: »Im Laufe des letzten Jahres hat Ubitech CI/CD-Praktiken für neue und laufende Projekte innerhalb der Organisation in mehreren Teams eingeführt«, so George Tsiolis, technischer Leiter bei Ubitech und zentraler Mitarbeiter von GitLab. »Bisher hat die Implementierung von CI/CD zu verstärkten Testanstrengungen und häufigeren Implementierungen geführt. Es hat unserem Team auch neue Erkenntnisse geliefert, die uns potenzielle Schwachstellen vor und nach der Implementierung unserer Anwendungen erkennen ließen.«

Trotzdem hat sich das Testen nach Ansicht von 47 % der Befragten das zweite Jahr in Folge als wichtigster Engpass herausgestellt. Automatisierte Tests sind zwar auf dem Vormarsch, aber nur 12 % geben an, eine vollständige Testautomatisierung zu nutzen. Und während 60 % der Unternehmen berichten, dass sie mehrmals am Tag, einmal am Tag oder einmal alle paar Tage Aktualisierungen bereitstellen, finden über 42 %, dass die Tests zu spät im Entwicklungslebenszyklus stattfinden.

Zwar wurden Fortschritte bei der Umsetzung der DevOps-Praktiken erzielt, doch im Hinblick auf die Rationalisierung der Zusammenarbeit zwischen Sicherheits-, Entwickler- und Operations-Teams bleibt noch mehr zu tun.

[1] Der vollständige Bericht ist hier zu finden: https://about.gitlab.com/developer-survey/

Methodik: GitLab befragte zwischen Januar und Februar 2020 mehr als 3650 Software-Profis aus 21 Ländern. Die Fehlerquote beträgt 2 % (bei angenommenen 26,4 Millionen Software-Profis und 95 Prozent Konfidenzniveau).

117 Artikel zu „DevSecOps“

NEWS | IT-SECURITY | TIPPS

In 6 Schritten zu DevSecOps

23. Februar 2020

Während DevOps schon weitverbreitet ist, erkennen nun immer mehr Unternehmen, dass es entscheidend ist, nicht nur Entwicklung und Betrieb enger zu verzahnen, sondern, dass man auch Sicherheit immer von Anfang an mitdenken sollte. Dem trägt der DevSecOps-Ansatz Rechnung. Doch ebenso wie DevOps, ist dieser Ansatz kein Produkt, das man kauft, oder eine Lösung, die man…