Häufige Fehler bei der Umsetzung von DevSecOps
10.11.2021
DevSecOps ist eine moderne Art der Produktentwicklung. Aber was sollte bei der Umsetzung von DevSecOps für eine erfolgreiche Verlagerung der Security nach links beachtet werden? Für eine digitale Zukunft auf der Überholspur: Diese 6 Fehler gilt es zu vermeiden.
Häufige Fehler bei der Umsetzung von DevSecOps
| Fehler | Tipp |
|---|---|
| Zu wenig Ausdauer | Bei zu hohen Erwartungen besteht die Gefahr, enttäuscht zu werden. DevSecOps ist eine lange Reise, bei der es keine Abkürzungen gibt. |
| Top-down-approach | DevSecOps kann nicht einfach vom Management verordnet werden. Wie für jede Verhaltens- oder Bewusstseinsveränderung braucht es strukturelle Anpassungen und ein kontinuierliches Change Management, das insbesondere auch kulturelle Aspekte vereint. |
| Unstrukturiertes Vorgehen | Zuerst die Risiken identifizieren, Massnahmen priorisieren und realistische Zwischenziele setzen. Idealer Startpunkt sind Problembereiche und Engpässe zwischen Entwicklung und Security. Wasserfallartige Sicherheitsprozesse gilt es, wo immer möglich, zu eliminieren. |
| Nutzen von DevSecOps wird nicht anerkannt | Die Verwendung von Storytelling und jede Verbesserung in Form einer Security Story in den Backlog einfliessen lassen, analog zu User Stories. So wird die Umsetzung planbar und vor allem für alle Stakeholder sichtbar. Das schafft Transparenz und Vertrauen. Auch die Dokumentation von Rollenänderungen und das Festhalten der gegenseitigen Erwartungen ist für eine klare Kommunikation zentral, damit das Team seine Verantwortung versteht. |
| Schlecht automatisierbare Sicherheitstools | Sicherstellen, dass alle Parteien die notwendigen Werkzeuge haben, um die Arbeit zu erledigen. Auch bei Securitytools gewinnt die Automatisierung immer mehr an Gewicht: die Steuerung erfolgt per Skript oder API. Grafische Benutzer:innenoberflächen können den Einstieg erleichtern, eignen sich aber schlecht für die Automatisierung. |
| Alleiniger Fokus auf Code-Analyse | Mit Application Security Testing lassen sich bekannte Angriffsvektoren und Schwachstellen früh erkennen. Um auch Neuartige oder sogar unbekannte Angriffe zu verhindern, sind moderne Web Application Firewalls als zusätzlicher Schutz nach wie vor Pflicht. In DevSecOps-Architekturen wird diese Funktion vermehrt von Microgateways übernommen (z.B. Airlock Microgateway). Deren Sicherheitsmodell garantiert, dass nur solche Aufrufe die Anwendung erreichen, die die Entwickler:innen explizit als gültig taxiert haben. |
«Vereint und aligniert, erreichen Agile und DevSecOps ihr gemeinsames Ziel: die bestmögliche Kund:innenerfahrung und kurze Bereitstellungszyklen.»
Roman Hugelshofer
Managing Director Application Security, Member of the Executive Board, Ergon
