Von DevOps zu DevSecOps: Ein Überblick und Tipps zur Einführung

Die Begriffe „DevOps“ und „DevSecOps“ sind in aller Munde. Was hinter diesen Begriffen steckt und in welcher Verbindung sie zueinander stehen und was Ihnen dabei hilft, das Prinzip bzw. die Prinzipien in Ihrem Unternehmen umzusetzen, erfahren Sie in unserem Artikel.

Was ist unter „DevOps“ zu verstehen? 

Der Begriff DevOps bezeichnet ein Kofferwort aus den beiden Begriffen Development (Entwicklung) sowie IT Operations (IT-Betrieb). DevOps beschreibt daher auch kein Tool oder System, sondern ist als ein Prozessverbesserungsansatz zu verstehen. In erster Linie ist dieser Ansatz dafür da, zwischen den beiden Abteilungen der Softwareentwicklung und dem IT-Betrieb für eine effizientere und effektivere Zusammenarbeit zu sorgen und darüber hinaus mit der Abteilung Qualitätssicherung einen Qualitätsstandard zu etablieren.

Durch die enge Verzahnung der Bereiche wird außerdem dafür gesorgt, dass auf mögliche Veränderungen im Entstehungsprozess agil reagiert werden kann. Dieser Anspruch an (letztlich) eine agile Softwareentwicklung setzt allerdings auch voraus, dass durch diese veränderte, flexiblere Arbeitsweise eine Veränderung in der Unternehmenskultur angestrebt wird und die Beteiligten grundsätzlich an einer Kooperation interessiert sind, experimentierfreudig und dazu bereit sind, stetig zu lernen. Der DevOps-Ansatz bedarf demnach also einer langfristiger Zustimmung verschiedenster Seiten innerhalb des Unternehmens.

John Willis, seit mehr als 40 Jahren in der IT-Branche aktiv und unter anderem Mitbegründer von DevOps-bezogenen Unternehmen sowie Co-Autor verschiedener DevOps-Bücher, gilt als einer der tragenden Stimmen der Adaption des DevOps-Ansatzes. Er definiert für den Prozessverbesserungsansatz die folgenden fünf Grundprinzipien:

  • Culture: Gegenseitiges Vertrauen, stetiger Informationsfluss, Lernbereitschaft
  • Automation: Automatisierung bestimmter Arbeitsvorgänge
  • Lean: Vermeide Verschwendung, generiere Wert, Transparenz, ganzheitliche Prozessoptimierung
  • Measurement: Einheitliche Bewertungskriterien (auch über die Applikation und ihre Komponenten hinaus)
  • Sharing: Bereitschaft, Wissen zu teilen, voneinander zu lernen und Erkenntnisse proaktiv mitzuteilen1

Mithilfe dieser Prinzipen soll eine gute Zusammenarbeit zwischen den einzelnen Akteuren sichergestellt werden. Je intensiver der Ansatz und damit die genannten Prinzipien gelebt werden, desto besser werden die Leistungen der verschiedenen Abteilungen. Doch wie kann ferner die Sicherheit im DevOps-Ansatz gewährleistet werden?

Sicherheit in der DevOps-Strategie

Um den Herausforderungen der immer häufiger auftretenden Hackerangriffe gerecht zu werden, darf der Sicherheitsaspekt beim Prozessverbesserungsansatz nicht fehlen. Die Entwicklergemeinde hat daher den Begriff „DevOps“ um den Punkt Security (IT-Sicherheit) zu „DevSecOps“ erweitert. Damit soll sichergestellt werden, dass die definierten Sicherheitsrichtlinien bei der Entwicklung eingehalten werden. Häufig wird der Aspekt Sicherheit als ein Hindernis verstanden, bei dem es nur darum geht Zeit und Ressourcen für ein potenzielles Risiko zu verwenden. Doch Sicherheit ist als positiver Wert zu verstehen. Durch das Testen während des gesamten CI/CD-Lebenszyklus besteht damit die Möglichkeit, Sicherheitsproblemen einen Schritt voraus zu sein. Somit kann für Unternehmen der DevSecOps-Ansatz ein Mittel sein, um das Unternehmen auch mit etablierten Sicherheitsstandards während der Entwicklung agil zu halten. Andersherum kann für Unternehmen der DevSecOps-Ansatz ein Mittel sein, um das Unternehmen trotz etablierter Sicherheitsstandards während der Entwicklung agil zu halten.

Ein erfolgreicher DevSecOps-Ansatz nutzt die folgenden vier Schritte:

  1. Entwicklungsphase: Die Softwareentwickler erstellen einen neuen Code und übergeben ihn an die zentrale Ablage.
  2. Phase der Continuous Integration (CI), Erstellung und Tests: Sobald der Code übergeben ist, wird die CI-Pipeline automatisch ausgeführt, und die Skripte setzen die Anwendung zusammen. Es werden Funktionstests, eine statische Code-Analyse und Security Unit Tests durchgeführt.
  3. Phase des Continuous Deployment (CD): Nach Abschluss der Tests wird die Anwendung gepackt und automatisch in der Produktionsumgebung bereitgestellt.
  4. Überwachungsphase: Die neue Version der Anwendung wird in der Produktionsumgebung überwacht, um sicherzustellen, dass der gesamte Funktionsumfang fehlerfrei arbeitet.2

Durch den agilen Ansatz ist gewährleistet, dass die IT-Sicherheit des zur jeder Phase entwickelten Codes zu jeder Zeit geprüft werden kann und Unternehmen können so auftretende Probleme im Live-Betrieb vorher eindämmen und gleichzeitig ein positives Kundenerlebnis sicherstellen können.

Einführung der DevSecOps-Strategie

Da die Einführung der DevSecOps-Strategie auch eine Veränderung in der Unternehmenskultur mit sich zieht, muss eine genaue und nachhaltige Planung erfolgen und auf verschiedene Dinge gleichzeitig geachtet werden.

1. Förderung der Zusammenarbeit

Um eine langfristige Verankerung in der Unternehmenskultur zu erreichen, ist ein gegenseitiges Verständnis für die Aufgaben der Kollegen ein wichtiger Bestandteil sowie eine umfassende Integration der für die im DevSecOps beteiligten Teams im Geschäftsalltag anzustreben. Nur durch eine gelungene Kooperation kann das gemeinsame Ziel, zügig eine stabile und sichere Software auf den Markt zu bringen, möglich gemacht werden.

2. Entwicklung neuer Prozesse

Um die DevSecOps-Strategie konsequent zu leben, muss außerdem eine gemeinsame Verantwortlichkeit für das gesamte Projekt erfolgen. So werden zügige Prozesse unter der Berücksichtigung aller wichtigen Anforderungen sichergestellt. Jedoch müssen dafür die Abläufe entsprechend angepasst werden – dafür sind die Bestehenden genau zu beleuchten. Ein guter Ansatz kann bspw. die Erstellung einer Bedrohungsmodellierung sein, um darauf basierend entsprechende Kontrollmechanismen zu definieren. 

3. Überprüfung bestehender und Hinzuziehen neuer Technologien

Entlang der neu definierten Prozesse ist der Einsatz von geeigneten Technologien nur konsequent. Sinnvoll ist es, die im Unternehmen vorhandenen Technik auf ihre Einsatzmöglichkeiten hin zu überprüfen und Abläufe idealerweise soweit automatisieren, wie es damit möglich ist und neue Technologien - wie zum Beispiel auch Analysetools - einzuführen, die für die neuen Abfolge hilfreich sind.

 Vorteile der DevSecOps-Strategie in der Entwicklung

  • Schnellere Problemlösung
  • Beschleunigte Produktlebenszyklen mit kontinuierlicher Lieferung
  • Weniger Sicherheitslücken von Anfang an
  • Schnellere Entwicklung von sicheren Softwarelösungen
  • Abteilungsübergreifender Wissensaustausch und Zusammenarbeit

Herausforderungen der DevSecOps-Strategie in der Entwicklung

  • Zu Beginn viel Aufwand: Vorbereitung von Prozessen und Information von Mitarbeitern, Bestandsaufnahme bisheriger Sicherheitsmaßnahmen
  • Austausch zwischen Abteilungen und Teams muss gefördert werden
  • Alle Mitarbeiter müssen sich auf die neue Unternehmenskultur einlassen

Keine Einführung ohne Wandel: Denken Sie bei der Einführung des DevSecOps-Ansatzes jedoch stets, dass es eine kulturelle Veränderung im Unternehmen hervorruft und so eine andauernde Kommunikation und Information rund um die Zusammenarbeit und die definierten Prozesse erfolgen müssen. Ratsam ist es außerdem, die festgelegten Abläufe kontinuierlich auf ihre Sinnhaftigkeit hin zu überprüfen und diese gegebenenfalls anzupassen.

Sie sind auf der Suche nach IT-Experten für die DevSecOps-Strategie in Ihrem Unternehmen? Dann nehmen Sie jetzt Kontakt zu uns auf – unsere spezialisierten Personalberater freuen sich auf Ihre Anfrage. Sie sind auf der Suche nach Ihrer nächsten Herausforderung im Bereich der Softwareentwicklung, im IT-Betrieb oder IT-Security? Dann finden Sie Ihren nächsten Job oder Ihr nächstes Projekt in unserer Stellensuche und bewerben Sie sich direkt auf unsere Vakanzen. Sie finden keine passende Stelle? Dann laden Sie Ihren Lebenslauf hoch und bewerben Sie sich damit initiativ.

Computer Futures unterstützt Sie gerne bei Ihrem Anliegen. Seit über 30 Jahren bringen wir erfolgreiche Unternehmen und IT-Experten in der IT- und Technologiebranche in der DACH-Region zusammen. Durch unsere Nähe zum Markt verstehen wir die lokalen Arbeitsmarktanforderungen und können Unternehmen als auch Experten individuell und professionell beraten.

______________________________________________________________________________________________________

Quellen: 

Vgl.: https://t3n.de/news/was-bedeutet-eigentlich-devops-723440/ (Stand 31.03.2021)

Vgl.: https://www.rohde-schwarz.com/de/loesungen/cybersicherheit/devsecops/devsecops-uebersicht_253772.html (Stand 31.03.2021)