2019-09-02 | Scandio | 5 min read
Was ist DevSecOps?
Dieser Partner-Blogpost wurde uns von unserem Partner Sonatype zur Verfügung gestellt.
Dev.Sec.Ops.
Haben Sie den Begriff schon einmal gehört? Wenn nicht, sind Sie nicht allein. Die Grundprämisse hinter DevSecOps kann sogar unter verschiedenen Namen laufen, je nachdem, wer das Gespräch führt (Rugged DevOps, SecDevOps, etc.) Und natürlich kann es auch schwierig genug sein, eine gemeinsam vereinbarte Definition von DevOps für sich zu finden.
Also, was bedeutet DevSecOps genau? Das Erste was Sie wahrscheinlich wissen müssen ist, dass das “Sec” in DevSecOps für Security, also Sicherheit steht.
Für viele Unternehmen bedeutet die Implementierung einer DevOps-Mentalität, die Lücke zwischen Softwareentwicklungs- und IT-Teams zu beseitigen, oft mit dem Ziel, Software schneller und stabiler veröffentlichen zu können.
DevSecOps ist also eine Erweiterung des DevOps-Mindsets und wird oft mit dem Slogan “Verschiebung der Sicherheit nach links” (d.h. früher) im Software Development Lifecycle (SDLC) dargestellt, anstatt Sicherheitsüberprüfungen/Inspektionen am Ende des Zyklus anzugehen, wenn alle Erkenntnisse, die eine Minderung erfordern, schwieriger und kostspieliger umzusetzen sind.
Tatsächlich ist das Prinzip von DevSecOps - die Qualität immer näher an die Quelle zu bringen - ein wichtiger Grundsatz von The Second Way of DevOps (Feedback), wie im DevOps Handbuch beschrieben:
W. Edwards Deming, ein Ingenieur, Statistikprofessor und Unternehmensberater, dem oft die Lehren zugeschrieben werden, die zur Gründung des Total Quality Movement in den Vereinigten Staaten beigetragen haben, brachte die gleiche Idee (viel früher) in der dritten (von seinen 14) Schlüsselmanagement-Prinzipien zur Transformation der Unternehmenseffektivität hervor:
Prinzipien sind nicht notwendigerweise mit Praxis gleichzusetzen.
Diese Prinzipien sind nicht neu und sie scheinen in der Theorie ziemlich einfach zu sein, aber die Realität ist, dass in der Praxis viele Unternehmen nicht so arbeiten.
Wenn die Sicherheit von einem Unternehmen priorisiert wird, zielt sie oft darauf ab, die Mindestkriterien für eine Art von Compliance zu erreichen, in der Regel mit einem unterbesetzten Sicherheitsteam.
In seinem DZone Artikel 10 Tips for Integrating Security into DevOps beschreibt Gene Kim diese Herausforderung:
Ein anschauliches Beispiel für dieses Szenario ist The Phoenix Project: A Novel About IT, DevOps, and Helping Your Business Win in dem der weniger beliebte Chief Information Security Officer (CISO) John eine existenzielle Krise durchlebt, wenn sein Unternehmen ein SOX-404-Audit besteht, ohne sich jemals auf seine prozessintensiven Sicherheitskontrollen verlassen zu müssen.
Nach einer Zeit des Selbstmitleids und der Selbstanalyse, in der all seine harte Arbeit nicht wirklich einen Mehrwert für das Unternehmen brachte, steigt CISO John “aus der Asche” und beginnt zu verstehen, wie seine Rolle dem Unternehmen helfen kann seine Geschäftsziele zu erreichen und arbeitet kooperativer mit den Abteilungen für Softwareentwicklung und IT zusammen, um zu verstehen wie er dazu beitragen kann, ihre Arbeit zu erleichtern. Bald beginnt die Dev, Ops und Security Triade zusammenzuarbeiten, um diese gemeinsamen Geschäftsziele zu erreichen und werden dabei viel agiler, indem sie Automatisierungs-Prozesse hinzufügen, um den Aufwand und die Sicherheitsrisiken möglichst zu reduzieren.
Ein kultureller Wandel in beide Richtungen
In einem Interview mit der Computer Business Review teilte Sonatype’s CTO, Brian Fox, seine Gedanken über die Veränderungen im DevOps- und DevSecOps-Bereich mit:
Einer der Gründer von DevSecOps, Shannon Lietz von Intuit, schreibt über diesen Wandel in ihrem Blogpost What is DevSecOps? auf devsecops.org und erklärt: “…with the change of DevOps afoot, traditional security is no longer an option.” Laut Lietz:
Wenn man DevSecOps als eine kollaborative Disziplin betrachtet wird klar, dass das ganze Unternehmen an diesem Prozess beteiligt werden muss.
Die Autoren des DevOps Handbook stimmen zu:
Bei Sonatype beinhaltet der Ansatz für DevSecOps “building quality in”, indem Sicherheitsmaßnahmen in alle Phasen der DevOps-Pipeline integriert werden - eine Verschiebung nach links und rechts - von der ersten Open-Source-Komponentenauswahl bis hin zur Erstellung, Bereitstellung und Freigabe einer Anwendung.
Um Sicherheit in alle Phasen einer SDLC zu integrieren, müssen folgende Punkte beachtet werden:
- Scannen und Bewerten der Risiken von Open-Source-Komponenten in neuen und bestehenden Legacy-Anwendungen.
- Verhindern, dass “schlechte” OSS-Komponenten überhaupt in ein Ökosystem gelangen.
- Kontinuierliche Überwachung aller Anwendungen in der Produktion, automatische Benachrichtigung der Entwicklerteams bei auftretenden Schwachstellen, die eine Anwendungen betreffen.
Im folgenden ein Auszug aus dem DevSecOps-Manifest von devsecops.org, das im Mittelpunkt der Mission bei Sonatype steht:
Für mehr Informationen:
- 10 Tips for Integrating Security into DevOps by Gene Kim
- Five Questions with…Sonatype CTO Brian Fox by Ed Targett
- The DevOps Handbook: How to Create World-Class Agility, Reliability, & Security in Technology Organizations by Gene Kim, Jez Humble, Patrick DeBois, & John Willis
- The DevSecOps Manifesto
- The Phoenix Project: A Novel About IT, DevOps, and Helping Your Business Win by Gene Kim, Kevin Behr, & George Spafford
- W. Edwards Deming Wikipedia entry
- What is DevSecOps? by Shannon Lietz
Scandiolife auf Instagram.
Connecte dich auf LinkedIn mit uns.
Hier zwitschert die Scandio auf Twitter.