DevOps

HPE Application Security & DevOps

Im vergangenen Jahr führte HP Enterprise eine Studie zum Thema Application Security und DevOps durch. Die sich auf den US-Markt beziehende Erhebung versucht herauszufinden, welche Erwartungen Anwender an DevOps im Security-Bereich haben und wie deren aktuelle Wahrnehmung ist. Außerdem gehen die Experten darauf ein, welche Barrieren bestehen und zeigen aktuelle Trends in den Bereichen Development, Operations und Security auf.

Die Erwartungen der Anwender…

99 % der Befragten gaben an, sie sehen durch DevOps eine Vielzahl an Möglichkeiten, die Sicherheit in IT-Systemen zu verbessern. Außerdem wurde die Notwendigkeit hervorgehoben, gleichartige Sicherheitsstandards in der Entwicklungs- und Produktivumgebung zu implementieren. Sicherheit muss dabei bereichsübergreifend in der gesamten Organisation als Priorität eingestuft werden. Gleichzeitig sei die verstärkte Nutzung von automatisierten Testverfahren erwünscht, bspw. real-time Feedback sowie die Schwachstellenanalyse während des Entwicklungsprozesses.

…und die Realität

Die Studienergebnisse zeigen, dass aktuell nur 20 % der Befragten während der Entwicklungsphase Testzyklen einlegen. Vielmehr werden Tests meist erst in pre-production Umgebungen (38 %) durchgeführt bzw. Entwickler verlassen sich auf die Network Security (25 %). Generell bleibt festzuhalten: Die Integration von DevOps hat zumeist nur wenig Einfluss auf das Niveau der Application Security. Ein möglicher Grund liegt darin, dass Unternehmen die bereits vorher einen Fokus auf Security während der Entwicklung legen, diesen auch durch die Adaption von DevOps aufrechterhalten.

Grenzen des Konzeptes

Ein großes Problem ist im Hinblick auf die Organisation zu identifizieren. Die Schlüsselkriterien von DevOps postulieren eine Zusammenarbeit zwischen Development, Operations und Quality Assurance. Allerdings bleibt das Thema Security unerwähnt. Zusätzlich zeigt die Studie, dass Entwickler und Betriebler oft kein ausgeprägtes Bewusstsein für Security vorweisen, wodurch eine Loslösung der jeweiligen Bereiche zu beobachten ist. Darüber hinaus existieren meist keine gemeinsamen, standardisierten Kommunikationsrichtlinien zwischen Development und Security – die Erstellung nützlicher Reportings zur Ableitung von Verbesserungsmaßnahmen wird somit erschwert.

Insights aus dem Bereich Development

Die Priorität in der Entwicklung ist die schnelle, termingerechte Lieferung, die Erstellung neuer Features und die Einhaltung eines bestimmten Qualitätsniveaus. Das Bewusstsein für Security-Themen ist laut den Studienergebnissen vorhanden und steigt sukzessive, allerdings sollte noch mehr Zeit auf eine zielgerichtete Weiterbildung gelegt werden, um Mitarbeiter zusätzlich zu qualifizieren. Ein großes Problem liegt in der time-to-market-pressure: Durch die Beschleunigung des Entwicklungsprozesses werden Mitarbeiter dazu angehalten – fast schon gezwungen – sich auf die wesentlichen Features zu beschränken und alle Geschwindigkeitshemmnisse zu eliminieren. In der Konsequenz bedeutet dies jedoch, dass insbesondere Themen wie Security vernachlässigt werden.

Insights aus dem Bereich Operations

Der Teilbereich Operations muss sich verstärkt mit dem Faktor Infrastruktur und weniger mit der Application selbst beschäftigen. Insbesondere wenn Teile der Infrastruktur in die Cloud verschoben werden, sollten Security-Prozesse vorher intensiv bearbeitet werden.

Insights aus dem Bereich Security

Laut Ergebnissen der HPE-Studie fehlt es Mitarbeitern der Security oft an dem nötigen Verständnis für Herausforderungen und Anforderungen im Bereich Entwicklung. Hier muss in jedem Fall ein intensiverer Austausch erfolgen. Des Weiteren fehlt es oft an der nötigen Personalstärke, um Security-Themen effizient zu bearbeiten. Verstärkt wird dieser Zustand durch immer schneller werdende Entwicklungszyklen. Weitere Probleme wurden bei der Integration von Application Security in den DevOps-Prozess identifiziert. Nach Einschätzung der Befragten wird es immer schwieriger, diese Themen effektiv miteinander zu verbinden. Dabei werden vor allem die Komplexität der DevOps-Umgebung, die schnellen Veränderungen bestimmter Schlüsseltechnologien (Automation, CI, Continuous Deployment) und die Vernachlässigung der Security zu Beginn der Entwicklung als Problemtreiber ausgemacht.

Fazit

Zusammenfassend bleibt zu sagen: Security muss in den gesamten Entwicklungsprozess integriert und als Verantwortlichkeit der gesamten Organisation etabliert werden. Dabei spielt auch das Management eine wesentliche Rolle. Zusätzlich muss es Entwicklern ermöglicht werden, in Echtzeit Schwachstellen im Code auszubessern, um somit Awareness und Know-How des Sicheren Codings zu steigern. Zeitgleich sollten Organisationen über die Implementierung einer organisationsweiten Sicherheitssoftware nachdenken, um Testautomatisierungen zu ermöglichen und dadurch freie Kapazitäten für komplexere Aufgabenstellungen zu nutzen. Abschließend bleibt zu sagen: Sprecht miteinander. Development, Operations und Security müssen ein gegenseitiges Verständnis für ihre jeweiligen Fachbereiche und deren Anforderungen aufbauen, um DevOps erfolgreich in eine Organisation zu implementieren!
 

Weiterführende Information und White Papers:

http://www8.hp.com/us/en/software-solutions/secure-sdlc-devops/index.html

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.