Software Supply Chain: GitLab bringt Sicherheit, Effizienz und KI in Einklang
GitLabs neuer Global DevSecOps Report zeigt den wachsenden Bedarf für mehr Sicherheit im Softwareentwicklungszyklus. Gezielter KI-Einsatz soll dabei helfen.
Sicherheit zählt zu den Top-Themen der Cloud Native Community, wie Chris Aniszczyk, CTO der CNCF, anlässlich der mit über 10.000 Teilnehmenden in Amsterdam stattfindenden und von der Cloud Native Computing Foundation veranstalteten KubeCon+CloudNativeCon mit Nachdruck betont. Einen weiteren Beleg dafür liefert auch die siebte Ausgabe des Global DevSecOps Reports, die GitLab anlässlich der Konferenz vorgelegt hat. Unter dem Motto "Security without Sacrifices" zeigt die Studie den wachsenden Bedarf für mehr Sicherheit, effizientere Prozesse sowie den gezielten Einsatz von Künstlicher Intelligenz in der Softwareentwicklung auf.
With a little help from my team
Entwicklerinnen und Entwickler übernehmen in DevOps-Organisationen zunehmend Verantwortung auch für die Sicherheit in der Software Supply Chain. So gaben gut 70 Prozent der für die GitLab-Studie befragten Sicherheitsfachleute an, dass aktuell bereits rund ein Viertel der Schwachstellen von Developern erfasst wird. Im Vorjahr hatte nur rund die Hälfte der Befragten diese Aussage gemacht. Eine zentrale Erkenntnis ist zudem, dass die althergebrachten Silos in den Unternehmen aufbrechen. Teams übernehmen Verantwortung und teilen sich die notwendigen Aufgaben. Im Sinne eines ganzheitlicheren Securityansatzes will GitLab diesen Trend unterstützen und seine eigene Plattform dahingehend ausbauen, dass Teams gezielte Hilfe erhalten, die richtigen Entscheidungen zu treffen und Verantwortung angemessen aufzuteilen.
Dabei könne das Unternehmen auf die über viele Jahre gesammelten Daten und Erfahrungen zurückgreifen, welche Maßnahmen zur Problembehebung in welchem Abschnitt der Supply Chain am geeignetsten sind, wie Michael Friedrich, Senior Developer Evangelist bei GitLab, im Gespräch mit heise Developer ergänzt. Unter anderem gegen Angriffe auf das Build-System – wie der Fall Solarwinds 2020 gezeigt hatte – könne das SLSA-Framework (Supply Chain Levels for Software Artifacts) helfen, das die OpenSSF gerade in Version 1.0 vorgelegt hat.
With a little help from AI
Während 66 Prozent der Umfrageteilnehmer ihre Zahl verwendeter Werkzeuge reduzieren möchten, um höhere Produktivität zu erzielen, dürfen Entwicklerinnen und Entwickler Hilfe auch durch Machine Learning und die KI-basierte Automatisierung erwarten. Laut Report greifen inzwischen bereits fast zwei Drittel beim Testen von Code auf KI-Tools zurück – noch vor einem Jahr war es nur etwa die Hälfte. GitLab wolle KI zunehmend in allen Bereichen einsetzen, in denen sich die Technik unmittelbar effizienzsteigernd auf die Arbeit von Developern auswirkt. Das gelte beispielsweise auch für die Unterstützung von Nachwuchskräften, die so schneller an ihre neuen Tätigkeiten herangeführt werden könnten.
Insbesondere beim Aufspüren von Schwachstellen und dem Umgang damit verspreche KI wertvolle Hilfestellung, die richtigen Entscheidungen zu treffen. Damit der Einsatz von KI aber auch verantwortungsvoll erfolge, lege GitLab beim Training der ML-Modellen Wert darauf, nur interne beziehungsweise explizit für den Zweck freigegebene Daten zu nutzen, sagt Friedrich.
Details zur Studie
Im Auftrag von GitLab hat das Marktforschungsunternehmen Savanta im März 2023 mehr als 5000 Softwarefachleute aus unterschiedlichen Branchen befragt – darunter IT-Führungskräfte, CISOs (Chief Information Security Officer) sowie Softwareentwicklerinnen und -entwickler. Die Umfrage erfolgte über Social-Media-Kanäle und einen von GitLab bereitgestellten E-Mail-Verteiler. Um Verzerrungen in der Stichprobe zu vermeiden, hat Savanta zusätzlich ein Panel-Sampling durchgeführt. Weitere Details zur Methodik sowie den vollständigen Report stellt GitLab kostenfrei zur Verfügung.
(map)