Entwickler- und Sicherheitsteams kommen laut einer Studie von Veracode und der Enterprise Strategy Group offenbar besser miteinander aus als gedacht ? dank DevSecOps.

Softwareentwicklung und IT-Sicherheit unter einen Hut zu bringen, ist traditionell nicht nur thematisch, sondern auch organisatorisch keine triviale Angelegenheit ? die einen wollen möglichst schnell arbeiten, die anderen möglichst sorgfältig. Der “AppSec and DevOps Trends Report” des Herstellers von Security-Werkzeugen Veracode und die IT-Berater der Enterprise Strategy Group (ESG) offenbart, dass die beiden Abteilungen offensichtlich durchaus in der Lage sind, an einem Strang zu ziehen, und zwar im Zuge von Initiativen wie DevOps beziehungsweise DevSecOps.

DevSecOps gewinnt an Bedeutung

Ziel der nicht repräsentativen Studie war es, die Sicht von Sicherheitsfachleuten und Entwicklern auf Trends in den Bereichen Anwendungssicherheit und Softwareentwicklung darzulegen. 58 Prozent der 400 befragten IT-Experten aus den Vereinigten Staaten, Großbritannien und Deutschland gaben an, dass ihr Unternehmen bereits einen solchen kollaborativen Ansatz verfolge, um Anwendungen abzusichern. Auch die Integration der IT-Sicherheit in den Entwicklungsprozess ? statt der früher üblichen Beschränkung auf die Produktivumgebung ? gewinnt anscheinend an Popularität.

43 Prozent der Befragten, die in ihren Unternehmen bereits Verfahren wie das auch von Veracode propagierte Static Application Security Testing (SAST) einsetzen, gaben sich dabei überzeugt, dass es effizienter sei, Anwendungssicherheit in den Entwicklungsprozess zu integrieren, als Produktionssysteme zu patchen. 45 Prozent der Befragten, die in DevOps-Teams arbeiten, sind der Meinung, dass der Prozessverbesserungsansatz die Arbeit der Entwicklerteams erleichtere. Nur 8 Prozent denken, dass die Integration von Anwendungssicherheit in den Entwicklungsprozess die Arbeit in einer DevOps-Umgebung eher ausbremse. Diese Ergebnisse stehen im Gegensatz zur oft gehörten Behauptung, dass der Fokus auf Sicherheit die Softwareentwicklung verlangsame.

Unternehmen offenbar bereit, in Sicherheit zu investieren

Angesichts der wachsenden Bedrohungslage ? genannt werden auch kürzliche Vorfälle wie der Ransomware-Angriff WannaCry ? planen 70 Prozent der Befragten, ihre Investitionen in Anwendungssicherheit binnen der nächsten ein bis zwei Jahre zu erhöhen. Viele Tools erweisen sich dabei anscheinend als ungeeignet, um sie in den DevOps-Workflow zu integrieren.

Auf der Suche nach Software für dynamische und statische Sicherheitstests legen Unternehmen deshalb das Hauptaugenmerk auf die Fähigkeit, Werkzeuge für statische Tests und Software-Lifecycle-Tools zu integrieren (42 Prozent), sowie auf die Möglichkeit, Tools für dynamische Tests und Software-Lifecycle-Tools (34 Prozent) anzugliedern.

Wer mehr darüber erfahren will, wie DevSecOps eine Brücke zwischen schneller und sicherer Software-Entwicklung schlägt, für den hält Veracode außerdem den “Developer?s Guide to the DevSecOps Galaxy” zum Download bereit. Sowohl für den Bezig der Studie als auch des Leitfadens ist allerdings die Registrierung erforderlich.

Siehe dazu auf heise Developer:

(ane)

diese Website klicken