Report: Security in DevOps zu integrieren, lohnt sich

Laut dem "State of DevOps Report 2019" erreichen Firmen mit Fokus auf Security eine bessere Integration von Entwicklung, Betrieb und Sicherheit.

In Pocket speichern vorlesen Druckansicht 13 Kommentare lesen
Report: Security in DevOps zu integrieren, lohnt sich

(Bild: Puppet)

Lesezeit: 3 Min.

Die mittlerweile achte Auflage des "State of DevOps Report", den das auf IT-Infrastrukturautomatisierung spezialisierte Unternehmen Puppet in Zusammenarbeit mit CircleCI und Splunk jetzt vorgelegt hat, geht der Frage nach, wie sich der Transformationsprozess zu DevOps und die Integration von Security-Maßnahmen optimal vereinbaren lassen. Dabei hat sich gezeigt, dass vor allem Anwender mit bereits unternehmensweit etablierten DevOps-Prozessen auch bei der Absicherung des Software Delivery Lifecycle schnellere Fortschritte machen – und davon profitieren.

Neue Funktionen auszurollen und Software Anwendern schneller zur Verfügung stellen zu können, bringt vielen Organisationen anscheinend entscheidende Wettbewerbsvorteile. Die Integration und Umsetzung von Security-Maßnahmen versprechen dabei aber auf den ersten Blick weder höhere Umsätze noch einen Gewinn. Die Herausgeber des "State of DevOps Report" sehen darin eine der wesentlichen Hürden, die Fortschritte beim Thema Security in DevOps-Organisationen behindern. Dass ein Fokus auf Security dennoch zu positiven Ergebnissen führt, deuten die Erkenntnisse der aktuellen Studie an.

Stufen der Sicherheitsintegration (Anteil der befragten Unternehmen).

(Bild: State of DevOps Report 2019)

22 Prozent der befragten Unternehmen, die bereits die höchste Ebene der Sicherheitsintegration erreicht haben, befinden sich demnach schon in einem fortgeschrittenen Stadium von DevOps. Denn DevOps-Grundsätze wie Kultur, Automatisierung, Bewertung und Teilen, die für gute Ergebnisse bei der Softwareentwicklung sorgen, sind die gleichen Prinzipien, die eine gute Sicherheit gewährleisten. Die Bemühungen führen offenbar zu einer insgesamt verbesserten Sicherheitslage. 82 Prozent der Studienteilnehmer auf der höchsten Sicherheitsintegrationsstufe sprechen von einer signifikant verbesserten Sicherheitslage durch die etablierten Sicherheitsrichtlinien und -praktiken. Auf das gleiche Maß an Zuversicht kommen hingegen nur 38 Prozent der Unternehmen ohne integrierte Sicherheit.

Trotz der Schwierigkeiten, die mit der Umsetzung von Security-Maßnahmen in DevOps-Prozessen einhergehen, profitieren Unternehmen davon in der Regel erkennbar. Unternehmen auf der höchsten Ebene der Sicherheitsintegration erreichen laut Report eine deutlich höhere Production-on-Demand-Rate als alle anderen Firmen. 61 Prozent der betreffenden Unternehmen bestätigten das im Rahmen der Studie. Unter den Firmen ohne Sicherheitsintegration gaben das weniger als die Hälfte an (49 Prozent). Aufgrund effektiverer Priorisierung von Sicherheitsmaßnahmen gegenüber der Bereitstellung von Funktionen sind Unternehmen mit höherer Sicherheitsintegration auch besser in der Lage, den Produktionsablauf zu kontrollieren und gegebenenfalls zu stoppen, um ein Security-Problem zu lösen, bevor dieses Auswirkungen auf die Anwender haben könnte.

Reaktionszeiten bei der Schwachstellenbeseitigung.

(Bild: State of DevOps Report 2019)

Die Studienmacher gelangen daher zu dem Fazit, dass sich die Investitionen in die Integration von Sicherheit in DevOps-Prozesse für Unternehmen langfristig auszahlt. Auch wenn nicht alle Bedrohungen vorhersehbar sind, gewinnen die Unternehmen zumindest die Gewissheit, diese Bedrohungen erkennen und darauf effektiv reagieren zu können.

An der Befragung zum "State of DevOps Report 2019" haben sich knapp 3000 Unternehmen aller Branchen und Umsatzgrößen beteiligt. Mehrheitlich stammen die Teilnehmer aus IT- und Entwicklungsabteilungen in Europa (32 Prozent) und Nordamerika (USA 29 Prozent, Kanada 7 Prozent). Den vollständigen Report stellt Puppet kostenlos gegen Angabe einiger persönlicher Daten als PDF zum Download bereit. (map)