DevSecOps-Studie: Automatisierung führt zu mehr Sicherheit
DevSecOps-Praktiken tragen zu umfassenderen Sicherheitskontrollen bei containerisierter Software und der Einhaltung von Open Source Governance bei.
(Bild: Sonatype)
- Matthias Parbel
Sonatype hat die sechste Auflage der jährlichen "DevSecOps-Community-Umfrage" veröffentlicht, an der erstmals mehr als 5500 IT-Experten teilgenommen haben. Wie die Studie zeigt, tragen DevSecOps-Praktiken nicht nur zu einem erhöhten Maß an automatisierten Sicherheitsverfahren in den Unternehmen bei, sondern vor allem auch zu umfassenderen Kontrollen von containerisierter Software und der Einhaltung von Open-Source-Software-Richtlinien.
In den etwa acht Monaten seit Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DSGVO) wurden nach Angaben der global tätigen Rechtsanwaltskanzlei DLA Piper bereits rund 59.000 Datenschutzverletzungen in der Europäischen Union gemeldet. Angesichts der sich auch dadurch verschärfenden Bedrohungsszenarien beim Umgang mit Open-Source-Software sehen sich immer mehr Unternehmen zu gründlicheren Sicherheitsprüfungen veranlasst, um die Qualität ihrer Anwendungen und deren kontinuierliches Deployment sicherzustellen. Knapp zwei Drittel der in der Sonatype-Studie befragten DevOps-Spezialisten gaben an, auf eine automatisierte Einhaltung von Open Source Governance zu vertrauen. In den Unternehmen, die noch keine DevSecOps-Praktiken etabliert haben, liegt der Anteil nur bei 25 Prozent.
(Bild: Sonatype)
Automatisierte Tools zur Überprüfung
Auch bei der Schwachstellensuche in Containern gehen die DevOps-Vorreiter gezielter vor: Gut die Hälfte der Studienteilnehmer nutzt bereits automatisierte Tools, um containerisierte Software zu überprüfen. Im Vergleich dazu bemühen sich lediglich 16 Prozent der Unternehmen ohne fest verankerte DevOps-Praktiken um Schwachstellentests in Container- beziehungsweise Docker-Umgebungen.
(Bild: Sonatype)
Generell trägt die Umsetzung von DevOps-Praktiken in den Unternehmen zu einem höheren Grad an Automatisierung und schärferen Sicherheitsmaßnahmen bei. So halten 81 Prozent der DevSecOps-Experten einen Cybersecurity-Incident-Response-Plan vor, während der Anteil bei den übrigen Unternehmen nur 63 Prozent erreicht. Im Hinblick auf die vollständige Verschlüsselung von Credentials auf Applikationsebene liegt das Verhältnis bei 75 zu 46 Prozent.
Im Rahmen der von CloudBees, Signal Sciences, Twistlock und dem Carnegie Mellon’s Software Engineering Institute unterstützten Studie wurden branchenübergreifend 5558 Experten zu DevSecOps-Praktiken und der Rolle von Anwendungssicherheit befragt. Nähere Informationen zu den weiteren Ergebnissen finden sich im Sonatype-Blog. Eine Zusammenfassung der kompletten Studie steht auf der Website des Unternehmens zum Download bereit. (map)
