Studie: Stärkere Integration von Security und DevOps notwendig
Die Autoren des von HPE herausgegebenen Application Security and DevOps Report 2016 sehen eine deutliche Kluft zwischen Wahrnehmung und Realität von sicherem DevOps. Gründe hierfür sind vor allem organisatorische Hürden und fehlendes Know-how.
- Alexander Neumann
Der letzte Woche veröffentlichte Application Security and DevOps Report 2016 von Hewlett Packard Enterprise (HPE) offenbart die Notwendigkeit, Security- und DevOps-Teams stärker miteinander zu verzahnen. Fast alle Befragten gaben an, dass sich mit den bei DevOps gesehenen Prinzipien grundsätzlich die Anwendungssicherheit verbessern lasse – aber nur 20 Prozent führten offenbar während der Entwicklung Sicherheitstests durch, und 17 Prozent würden gar keine Techniken oder Produkte zum Schutz ihrer Anwendungen einsetzen.
Mangel an Sicherheitsexperten
Den Studienbetreibern zufolge herrscht demnach eine deutliche Kluft zwischen Wahrnehmung und Realität von sicherem DevOps. Sie sehen zahlreiche Barrieren für eine erfolgreiche Integration von Security in DevOps. An erster Stelle stünden organisatorische Barrieren zwischen Security- und Entwickler-Teams. Einige Entwickler gaben in der Befragung an, dass sie ihre Security-Teams nicht einmal kennen würden. 90 Prozent der Security-Mitarbeiter antworteten, dass es schwieriger geworden sei, Anwendungssicherheit zu integrieren, seit ihr Unternehmen DevOps einsetze.
Außerdem fehle es vielen Entwicklern an Sicherheitsbewusstsein und -Trainings. Von mehr als 100 Stellenausschreibungen für Softwareentwickler bei Fortune-1000-Unternehmen verlangte keine entsprechende Security-Erfahrung. Des Weiteren wird konstatiert, dass es in Unternehmen einen Mangel an Anwendungssicherheitsexperten gebe. So komme auf jeden 80. Entwickler in den untersuchten Firmen ein Sicherheitsexperte.
Tipps von HPE
Die Reportautoren geben zum Schluss einige Empfehlungen, wie Firmen bei der weiteren Einführung der DevOps-Kultur die Barrieren für sichere Anwendungsentwicklung beseitigen sowie die Integration von Security- und DevOps-Teams vorantreiben können: So müsse die Verantwortung für Security von mehreren Organisationen gemeinsam getragen werden. Security habe in jede Phase des Entwicklungsprozesses eingebettet zu sei – unterstützt durch das Management und entsprechende Zielvorgaben. Diese sollten sich auf Mean Time To Triage (MTTT), Mean Time To Fix (MTTF) sowie Programm-Compliance konzentrieren.
Der Mangel an Security-Bewusstsein und -Kompetenz lasse sich überwinden, wenn man es Entwicklern einfach mache, sichere Entwicklung einzuüben. Firmen sollten Security-Werkzeuge in das Entwicklungsökosystem integrieren. Das vereinfache die sichere Entwicklung und mache sie effizient. Schließlich sollten Firmen automatisierte Lösungen für Anwendungssicherheit einsetzen, die über Analytics-Funktionen verfügen. So ließe sich die Prüfung der Anwendungssicherheitstests automatisieren, was Sicherheitsexperten ermögliche, sich nur auf die größten Risiken zu konzentrieren. Das reduziere die Zahl der Sicherheitsrisiken, die manuell zu untersuchen seien.
FĂĽr den Bericht wurden eine nicht genannte Zahl an IT-Betreibern, Security-Managern und Entwicklern anonym befragt.
Siehe dazu auf heise Devloper:
(ane)
