Report: DevSecOps ist der steinige Weg zu mehr Sicherheit

Laut Global Developer Report 2019 von GitLab setzt sich DevSecOps in der Softwareentwicklung durch. Mehr Sicherheit bleibt aber bisweilen auf der Strecke.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Report: DevSecOps ist der steinige Weg zu mehr Sicherheit

(Bild: GitLab)

Lesezeit: 3 Min.
Von
  • Matthias Parbel

GitLab, Anbieter der gleichnamigen Webanwendung zur Versionsverwaltung auf Basis von Git, hat den Global Developer Report 2019 vorgelegt. Die weltweite Umfrage ist darauf ausgelegt, Erkenntnisse zu Kultur, Workflows und Werkzeugen zu gewinnen, die Entwickler bei ihrer täglichen Arbeit unterstützen. Um der wachsenden Bedeutung der Zusammenarbeit zwischen Teams bei der Bereitstellung von Software gerecht zu werden, schließt der Report erstmals auch Admins und Security-Verantwortliche ein. Wichtigste Aussage der unter mehr als 4000 Teilnehmern durchgeführten Umfrage ist, dass sich DevSecOps zwar in immer mehr Unternehmen etablieren, die Sicherheit in der Softwareentwicklung sich damit aber nur mühsam verbessern lässt.

Entwickler, Admins und Security-Verantwortliche sind sich laut Studie mehrheitlich einig, dass ein DevOps-Modell für mehr Transparenz in der teamübergreifenden Zusammenarbeit sorgt – allerdings erst dann, wenn sich die damit verbundenen Prozesse und Tools erfolgreich im Unternehmen etabliert haben. Insbesondere beim Thema Security sehen die Befragten noch massiven Nachholbedarf. So gab rund die Hälfte an, dass ihre Security-Teams Sicherheitsschwachstellen in der Regel erst dann entdecken, wenn der Code zusammengeführt und in eine Testumgebung überführt wurde.

Erst Organisationen, die auf eine bewährte DevOps-Infrastruktur vertrauen können, arbeiten effizienter: Solche Security-Teams schaffen es dreimal so häufig, die Fehler noch vor dem Code-Merge zu beseitigen, als Teams, die sich noch im Aufbau eines DevOps-Modell befinden. Auch die Quote des insgesamt getesteten Sourcecodes liegt bei den erfahrenen DevOps-Teams deutlich höher: Sie testen üblicherweise zwischen 91 und 100 Prozent ihres Codes.

Mehr Infos

Unter dem Motto "Sichere Software beginnt vor der ersten Zeile Code" richten heise Developer, heise Security und der dpunkt.verlag vom 24. bis 26. September 2019 die dritte Auflage der Konferenz heise devSec aus. In dem auf Softwareentwickler und -architekten zugeschnittenen Programm findet sich unter anderen ein Erfahrungsbericht zur Praxistauglichkeit von DevSecOps.

Dennoch kommt es an der Schnittstelle zwischen Softwareentwicklung und der Schwachstellenprüfung regelmäßig zu Spannungen. Zwar sind sich über zwei Drittel der Entwickler bewusst, sicheren Code abliefern zu müssen, fast die Hälfte der befragten Sicherheitsprofis (49 Prozent) gaben aber an, dass sie mit Schwierigkeiten kämpfen, Entwickler dazu zu bringen, der Behebung von Schwachstellen die erforderliche Priorität einzuräumen.

Mehr Details zu den Erkenntnissen des Reports lassen sich der Ankündigung von GitLab entnehmen. Darüber hinaus stellt GitLab den kompletten Report inklusive der Rohdaten gegen Registrierung kostenfrei zum Download zur Verfügung. Die Umfrage wurde im Januar und Februar 2019 weltweit durchgeführt. Die 4071 Befragten dürften mehrheitlich GitLab-Anwender sein, denn die Aufrufe zur Teilnahme erfolgten über den Newsletter und die Social-Media-Kanäle von GitLab.

Siehe dazu auf heise Developer:

(map)