Warum DevOps-Implementierungen oft erfolglos sind (und wie Sie das ändern können)
Dieser Artikel wurde ursprünglich veröffentlicht auf DevOps.de. Er wurde aktualisiert und geändert.
Ähnlich wie "Blockchain", "Big Data" und "Digital Disruption" ist der Begriff "DevOps" ein weiteres Buzzword, das derzeit in den IT-Abteilungen großer Unternehmen herumgereicht wird.
Viele haben (richtigerweise) den Bedarf an schnelleren Softwareentwicklungs-Lebenszyklen erkannt; ein präziserer Prozess, der eng mit den Geschäftszielen abgestimmt ist und einen klareren Arbeitsablauf und eine bessere Zusammenarbeit zwischen den Entwicklungs- und Betriebsteams ermöglicht. DevOps ist im Wesentlichen eine "agile" Entwicklung, die erwachsen geworden und bereit ist, sich den ständig innovativen und schnell bereitstellenden Anforderungen des modernen Unternehmens zu stellen. Für Sicherheitsexperten ist es eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess einbringen, die Kosten für die Behebung von Fehlern reduzieren und potenzielle Katastrophen im Nachhinein vermeiden.
Das Problem ist, dass nur wenige Unternehmen bei ihrer DevOps-Implementierung wirklich erfolgreich sind. Ohne die richtige Unterstützung, Pflege und das Verständnis im gesamten Unternehmen kann es schnell zu einem weißen Elefanten werden... Sie wissen schon, eines dieser "Erwähnen Sie den Krieg nicht"-Projekte.
Wo liegt also das Problem? Es ist eine interessante Diskussion, und es gibt ein paar Möglichkeiten, DevOps anzugehen, die meiner Meinung nach für einen viel reibungsloseren Ablauf sorgen werden. Ein effektives Programm geht über ein paar ausgefallene neue Tools, Titel und Team-Meetings hinaus. Es wird nicht immer einfach sein, aber wenn man sich die Zeit nimmt, eine kaputte Strategie zu korrigieren (oder sie von Anfang an richtig zu implementieren), wird es auf lange Sicht viel weniger schmerzhaft sein. Und letztendlich wird es zu einer höheren Qualität und Sicherheit der Software führen.
Lassen Sie uns das aufschlüsseln:
Lassen Sie die "Agile"-Schürzenbänder los.
Es gibt ein gewisses Missverständnis, dass eine Organisation sich zwischen Agile oder DevOps entscheiden muss und den einen oder anderen Weg einschlägt, um nie wieder zurückzublicken.
Die Sache ist die, dass der Entwicklungsprozess am besten funktioniert, wenn beides als Einheit betrachtet und umgesetzt wird. DevOps ist keine Neuerfindung der agilen Entwicklung, sondern eine Erweiterung derselben. Die Räder neigen dazu, abzufallen, wenn die Erwartung besteht, dass der Prozess genau wie Agile oder völlig anders als Agile sein wird.
Agile unterstützt das Prinzip der funktionsübergreifenden Teams, indem es Designer, Tester und Entwickler von Anfang an zusammenbringt und sich für offene Kommunikationslinien während eines Projekts einsetzt. Ziel ist es, die siloartige Bereitstellung zu beenden und die doppelte Bearbeitung zu reduzieren - beides sind ebenfalls Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter und bezieht Systeme, Sicherheit und Betrieb mit ein, um ein robustes, durchgängiges Skillset zu bieten, das das ultimative Ziel der vollständigen, funktionalen Softwareauslieferung an den Kunden verfolgt.
Während der unvermeidlichen Schmerzpunkte bei der Umstellung auf einen stärker DevOps-zentrierten Prozess kann das Risiko einer siloartigen Entwicklung wieder auftauchen. Oft arbeitet das ursprüngliche Agile-Team zusammen, während die Sicherheits- und Betriebsergänzungen noch ihren Weg in die Maschine finden; niemand ist sich ganz sicher, wie man sie einbezieht, was sie tun sollen und welche Ziele sie insgesamt verfolgen.
DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifendes Onboarding und direkte Kommunikation mit allen Beteiligten. Sicherlich wird es eine Anpassungsphase geben, die ein sorgfältiges Änderungsmanagement erfordert, aber alle auf die gleiche Seite mit den Verbesserungen zu bringen, die DevOps-Funktionen mit sich bringen, ist schon die halbe Miete.
Zunehmend (Gott sei Dank) legt DevOps auch Wert auf bewährte Sicherheitspraktiken als Teil des Prozesses, entmystifiziert diesen Schritt und überbrückt die Kluft zwischen dem Sicherheitsteam und, nun ja, allen anderen. Wie ich bereits gesagt habe, haben wir noch einen langen Weg vor uns, um Entwickler zu befähigen, von Anfang an sicher zu programmieren, aber die erfolgreiche Implementierung von DevOps-Methoden ist eine hervorragende Grundlage, auf der Sicherheitskompetenzen innerhalb des Entwicklungsteams aufgebaut werden können.
Automatisierung ist nicht alles (und auch nicht das Sicherste).
Ein weiteres Merkmal der DevOps-Methodik ist, bis zu einem gewissen Grad, die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und der kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und, wie Sie wahrscheinlich erraten können, sehr abhängig von Tools.
Tools sind großartig, das sind sie wirklich. Sie können den Softwareentwicklungsprozess in beispielloser Geschwindigkeit vorantreiben, indem sie das Code-Repository, die Tests, die Wartung und die Speicherelemente relativ nahtlos verwalten.
Doch auch wenn Roboter eines Tages alle unsere Jobs übernehmen und uns gefangen halten könnten, sind sie definitiv noch nicht so weit. Die starke Abhängigkeit von Tools und Automatisierung lässt ein Fenster weit offen für Fehler. Scans und Tests erkennen möglicherweise nicht alles, Code kann ungeprüft bleiben, was im Nachhinein zu enormen Qualitäts- (ganz zu schweigen von Sicherheits-) Problemen führt. Ein Angreifer braucht nur eine Hintertür auszunutzen, um Daten zu stehlen, und der Verzicht auf das menschliche Element bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
Der "goldene Mittelweg" besteht darin, ein Gleichgewicht zwischen Menschen und Werkzeugen zu schaffen. Tools sollten als Assistenten für ein Team dienen, dem Sie vertrauen, die Projektziele zu erreichen. Das sollten Sie:
- Planen Sie genügend Zeit ein, damit sich die Mitarbeiter mit der gewählten DevOps-Toolchain vertraut machen können
- Fokus auf effektive Zusammenarbeit (und wie die Tools dies unterstützen können)
- Adressieren Sie alle Lücken im Prozess, unabhängig davon, ob es sich um Fähigkeiten/Wissen oder um Werkzeuge handelt.
Kurz gesagt, rüsten Sie nicht einfach "auf" und hoffen Sie auf das Beste.
DevOps ist kein Modewort, sondern eine Kultur. Wachsen Sie Ihre?
Change Management ist in den besten Zeiten schwierig. Die Angst vor dem Unbekannten kann selbst die brillantesten Teammitglieder davon abhalten, ihre Fähigkeiten auszubauen und ihren Horizont zu erweitern.
Sehen Sie, einfach nur zu sagen "lasst uns DevOps machen" und das Betriebsteam dazu zu bringen, den Schreibtisch zu wechseln, wird nicht auf magische Weise einen erfolgreichen Prozess implementieren. Viele werden verwirrt sein, und langjährige Teammitglieder werden verärgert zurückbleiben. Die Kommunikation der Erwartungen ist von entscheidender Bedeutung, ebenso wie das "Gehen des Weges". DevOps stellt eine kulturelle Bewegung dar, genauso wie eine Entwicklungsmethodik, und ein Team sollte eine funktionsübergreifende, kollaborative Denkweise leben und atmen.
Wie sieht eine großartige DevOps-Kultur aus?
- Einzelpersonen sind befähigt, ihr Fachwissen in einen Prozess einzubringen, nicht nur Führungskräfte
- Offene, ehrliche und respektvolle Kommunikation zwischen Teams
- Jede Person übernimmt die Verantwortung für das Gesamtziel, Qualität und Sicherheit in den Entwicklungsprozess einzubauen
- Jeder ist auf derselben Seite mit der Definition von DevOps im Unternehmen, der Roadmap und dem Wie/Was/Warum der Rolle jeder Person.
Seit Jahren betone ich, wie wichtig der Aufbau einer positiven Sicherheitskultur in Entwicklungsteams ist, und das ist bei DevOps nicht anders.
Die richtigen Tools, das richtige Wissen und der richtige Support sind unerlässlich, um Best Practices für die Sicherheit zu erreichen, einen Rückgang der entdeckten Schwachstellen zu sehen und dem Team die Augen zu öffnen, wie wichtig der Schutz unserer Daten ist. Mit DevOps müssen Sie die kulturelle Grundlage für positive Veränderungen schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen, die allgemeinen Projektziele und die Schritte im Prozess versteht.
Haben Sie das gemeistert? Prima. Dann lassen Sie uns jetzt die Nadel verschieben, den Sicherheitsaspekt erhöhen und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.
Nur wenige Unternehmen sind bei ihrer DevOps-Implementierung wirklich erfolgreich. Mit der richtigen Unterstützung, Pflege und dem Verständnis im gesamten Unternehmen kann Ihr Prozess jedoch transformiert werden.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Dieser Artikel wurde ursprünglich veröffentlicht auf DevOps.de. Er wurde aktualisiert und geändert.
Ähnlich wie "Blockchain", "Big Data" und "Digital Disruption" ist der Begriff "DevOps" ein weiteres Buzzword, das derzeit in den IT-Abteilungen großer Unternehmen herumgereicht wird.
Viele haben (richtigerweise) den Bedarf an schnelleren Softwareentwicklungs-Lebenszyklen erkannt; ein präziserer Prozess, der eng mit den Geschäftszielen abgestimmt ist und einen klareren Arbeitsablauf und eine bessere Zusammenarbeit zwischen den Entwicklungs- und Betriebsteams ermöglicht. DevOps ist im Wesentlichen eine "agile" Entwicklung, die erwachsen geworden und bereit ist, sich den ständig innovativen und schnell bereitstellenden Anforderungen des modernen Unternehmens zu stellen. Für Sicherheitsexperten ist es eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess einbringen, die Kosten für die Behebung von Fehlern reduzieren und potenzielle Katastrophen im Nachhinein vermeiden.
Das Problem ist, dass nur wenige Unternehmen bei ihrer DevOps-Implementierung wirklich erfolgreich sind. Ohne die richtige Unterstützung, Pflege und das Verständnis im gesamten Unternehmen kann es schnell zu einem weißen Elefanten werden... Sie wissen schon, eines dieser "Erwähnen Sie den Krieg nicht"-Projekte.
Wo liegt also das Problem? Es ist eine interessante Diskussion, und es gibt ein paar Möglichkeiten, DevOps anzugehen, die meiner Meinung nach für einen viel reibungsloseren Ablauf sorgen werden. Ein effektives Programm geht über ein paar ausgefallene neue Tools, Titel und Team-Meetings hinaus. Es wird nicht immer einfach sein, aber wenn man sich die Zeit nimmt, eine kaputte Strategie zu korrigieren (oder sie von Anfang an richtig zu implementieren), wird es auf lange Sicht viel weniger schmerzhaft sein. Und letztendlich wird es zu einer höheren Qualität und Sicherheit der Software führen.
Lassen Sie uns das aufschlüsseln:
Lassen Sie die "Agile"-Schürzenbänder los.
Es gibt ein gewisses Missverständnis, dass eine Organisation sich zwischen Agile oder DevOps entscheiden muss und den einen oder anderen Weg einschlägt, um nie wieder zurückzublicken.
Die Sache ist die, dass der Entwicklungsprozess am besten funktioniert, wenn beides als Einheit betrachtet und umgesetzt wird. DevOps ist keine Neuerfindung der agilen Entwicklung, sondern eine Erweiterung derselben. Die Räder neigen dazu, abzufallen, wenn die Erwartung besteht, dass der Prozess genau wie Agile oder völlig anders als Agile sein wird.
Agile unterstützt das Prinzip der funktionsübergreifenden Teams, indem es Designer, Tester und Entwickler von Anfang an zusammenbringt und sich für offene Kommunikationslinien während eines Projekts einsetzt. Ziel ist es, die siloartige Bereitstellung zu beenden und die doppelte Bearbeitung zu reduzieren - beides sind ebenfalls Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter und bezieht Systeme, Sicherheit und Betrieb mit ein, um ein robustes, durchgängiges Skillset zu bieten, das das ultimative Ziel der vollständigen, funktionalen Softwareauslieferung an den Kunden verfolgt.
Während der unvermeidlichen Schmerzpunkte bei der Umstellung auf einen stärker DevOps-zentrierten Prozess kann das Risiko einer siloartigen Entwicklung wieder auftauchen. Oft arbeitet das ursprüngliche Agile-Team zusammen, während die Sicherheits- und Betriebsergänzungen noch ihren Weg in die Maschine finden; niemand ist sich ganz sicher, wie man sie einbezieht, was sie tun sollen und welche Ziele sie insgesamt verfolgen.
DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifendes Onboarding und direkte Kommunikation mit allen Beteiligten. Sicherlich wird es eine Anpassungsphase geben, die ein sorgfältiges Änderungsmanagement erfordert, aber alle auf die gleiche Seite mit den Verbesserungen zu bringen, die DevOps-Funktionen mit sich bringen, ist schon die halbe Miete.
Zunehmend (Gott sei Dank) legt DevOps auch Wert auf bewährte Sicherheitspraktiken als Teil des Prozesses, entmystifiziert diesen Schritt und überbrückt die Kluft zwischen dem Sicherheitsteam und, nun ja, allen anderen. Wie ich bereits gesagt habe, haben wir noch einen langen Weg vor uns, um Entwickler zu befähigen, von Anfang an sicher zu programmieren, aber die erfolgreiche Implementierung von DevOps-Methoden ist eine hervorragende Grundlage, auf der Sicherheitskompetenzen innerhalb des Entwicklungsteams aufgebaut werden können.
Automatisierung ist nicht alles (und auch nicht das Sicherste).
Ein weiteres Merkmal der DevOps-Methodik ist, bis zu einem gewissen Grad, die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und der kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und, wie Sie wahrscheinlich erraten können, sehr abhängig von Tools.
Tools sind großartig, das sind sie wirklich. Sie können den Softwareentwicklungsprozess in beispielloser Geschwindigkeit vorantreiben, indem sie das Code-Repository, die Tests, die Wartung und die Speicherelemente relativ nahtlos verwalten.
Doch auch wenn Roboter eines Tages alle unsere Jobs übernehmen und uns gefangen halten könnten, sind sie definitiv noch nicht so weit. Die starke Abhängigkeit von Tools und Automatisierung lässt ein Fenster weit offen für Fehler. Scans und Tests erkennen möglicherweise nicht alles, Code kann ungeprüft bleiben, was im Nachhinein zu enormen Qualitäts- (ganz zu schweigen von Sicherheits-) Problemen führt. Ein Angreifer braucht nur eine Hintertür auszunutzen, um Daten zu stehlen, und der Verzicht auf das menschliche Element bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
Der "goldene Mittelweg" besteht darin, ein Gleichgewicht zwischen Menschen und Werkzeugen zu schaffen. Tools sollten als Assistenten für ein Team dienen, dem Sie vertrauen, die Projektziele zu erreichen. Das sollten Sie:
- Planen Sie genügend Zeit ein, damit sich die Mitarbeiter mit der gewählten DevOps-Toolchain vertraut machen können
- Fokus auf effektive Zusammenarbeit (und wie die Tools dies unterstützen können)
- Adressieren Sie alle Lücken im Prozess, unabhängig davon, ob es sich um Fähigkeiten/Wissen oder um Werkzeuge handelt.
Kurz gesagt, rüsten Sie nicht einfach "auf" und hoffen Sie auf das Beste.
DevOps ist kein Modewort, sondern eine Kultur. Wachsen Sie Ihre?
Change Management ist in den besten Zeiten schwierig. Die Angst vor dem Unbekannten kann selbst die brillantesten Teammitglieder davon abhalten, ihre Fähigkeiten auszubauen und ihren Horizont zu erweitern.
Sehen Sie, einfach nur zu sagen "lasst uns DevOps machen" und das Betriebsteam dazu zu bringen, den Schreibtisch zu wechseln, wird nicht auf magische Weise einen erfolgreichen Prozess implementieren. Viele werden verwirrt sein, und langjährige Teammitglieder werden verärgert zurückbleiben. Die Kommunikation der Erwartungen ist von entscheidender Bedeutung, ebenso wie das "Gehen des Weges". DevOps stellt eine kulturelle Bewegung dar, genauso wie eine Entwicklungsmethodik, und ein Team sollte eine funktionsübergreifende, kollaborative Denkweise leben und atmen.
Wie sieht eine großartige DevOps-Kultur aus?
- Einzelpersonen sind befähigt, ihr Fachwissen in einen Prozess einzubringen, nicht nur Führungskräfte
- Offene, ehrliche und respektvolle Kommunikation zwischen Teams
- Jede Person übernimmt die Verantwortung für das Gesamtziel, Qualität und Sicherheit in den Entwicklungsprozess einzubauen
- Jeder ist auf derselben Seite mit der Definition von DevOps im Unternehmen, der Roadmap und dem Wie/Was/Warum der Rolle jeder Person.
Seit Jahren betone ich, wie wichtig der Aufbau einer positiven Sicherheitskultur in Entwicklungsteams ist, und das ist bei DevOps nicht anders.
Die richtigen Tools, das richtige Wissen und der richtige Support sind unerlässlich, um Best Practices für die Sicherheit zu erreichen, einen Rückgang der entdeckten Schwachstellen zu sehen und dem Team die Augen zu öffnen, wie wichtig der Schutz unserer Daten ist. Mit DevOps müssen Sie die kulturelle Grundlage für positive Veränderungen schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen, die allgemeinen Projektziele und die Schritte im Prozess versteht.
Haben Sie das gemeistert? Prima. Dann lassen Sie uns jetzt die Nadel verschieben, den Sicherheitsaspekt erhöhen und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.
Dieser Artikel wurde ursprünglich veröffentlicht auf DevOps.de. Er wurde aktualisiert und geändert.
Ähnlich wie "Blockchain", "Big Data" und "Digital Disruption" ist der Begriff "DevOps" ein weiteres Buzzword, das derzeit in den IT-Abteilungen großer Unternehmen herumgereicht wird.
Viele haben (richtigerweise) den Bedarf an schnelleren Softwareentwicklungs-Lebenszyklen erkannt; ein präziserer Prozess, der eng mit den Geschäftszielen abgestimmt ist und einen klareren Arbeitsablauf und eine bessere Zusammenarbeit zwischen den Entwicklungs- und Betriebsteams ermöglicht. DevOps ist im Wesentlichen eine "agile" Entwicklung, die erwachsen geworden und bereit ist, sich den ständig innovativen und schnell bereitstellenden Anforderungen des modernen Unternehmens zu stellen. Für Sicherheitsexperten ist es eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess einbringen, die Kosten für die Behebung von Fehlern reduzieren und potenzielle Katastrophen im Nachhinein vermeiden.
Das Problem ist, dass nur wenige Unternehmen bei ihrer DevOps-Implementierung wirklich erfolgreich sind. Ohne die richtige Unterstützung, Pflege und das Verständnis im gesamten Unternehmen kann es schnell zu einem weißen Elefanten werden... Sie wissen schon, eines dieser "Erwähnen Sie den Krieg nicht"-Projekte.
Wo liegt also das Problem? Es ist eine interessante Diskussion, und es gibt ein paar Möglichkeiten, DevOps anzugehen, die meiner Meinung nach für einen viel reibungsloseren Ablauf sorgen werden. Ein effektives Programm geht über ein paar ausgefallene neue Tools, Titel und Team-Meetings hinaus. Es wird nicht immer einfach sein, aber wenn man sich die Zeit nimmt, eine kaputte Strategie zu korrigieren (oder sie von Anfang an richtig zu implementieren), wird es auf lange Sicht viel weniger schmerzhaft sein. Und letztendlich wird es zu einer höheren Qualität und Sicherheit der Software führen.
Lassen Sie uns das aufschlüsseln:
Lassen Sie die "Agile"-Schürzenbänder los.
Es gibt ein gewisses Missverständnis, dass eine Organisation sich zwischen Agile oder DevOps entscheiden muss und den einen oder anderen Weg einschlägt, um nie wieder zurückzublicken.
Die Sache ist die, dass der Entwicklungsprozess am besten funktioniert, wenn beides als Einheit betrachtet und umgesetzt wird. DevOps ist keine Neuerfindung der agilen Entwicklung, sondern eine Erweiterung derselben. Die Räder neigen dazu, abzufallen, wenn die Erwartung besteht, dass der Prozess genau wie Agile oder völlig anders als Agile sein wird.
Agile unterstützt das Prinzip der funktionsübergreifenden Teams, indem es Designer, Tester und Entwickler von Anfang an zusammenbringt und sich für offene Kommunikationslinien während eines Projekts einsetzt. Ziel ist es, die siloartige Bereitstellung zu beenden und die doppelte Bearbeitung zu reduzieren - beides sind ebenfalls Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter und bezieht Systeme, Sicherheit und Betrieb mit ein, um ein robustes, durchgängiges Skillset zu bieten, das das ultimative Ziel der vollständigen, funktionalen Softwareauslieferung an den Kunden verfolgt.
Während der unvermeidlichen Schmerzpunkte bei der Umstellung auf einen stärker DevOps-zentrierten Prozess kann das Risiko einer siloartigen Entwicklung wieder auftauchen. Oft arbeitet das ursprüngliche Agile-Team zusammen, während die Sicherheits- und Betriebsergänzungen noch ihren Weg in die Maschine finden; niemand ist sich ganz sicher, wie man sie einbezieht, was sie tun sollen und welche Ziele sie insgesamt verfolgen.
DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifendes Onboarding und direkte Kommunikation mit allen Beteiligten. Sicherlich wird es eine Anpassungsphase geben, die ein sorgfältiges Änderungsmanagement erfordert, aber alle auf die gleiche Seite mit den Verbesserungen zu bringen, die DevOps-Funktionen mit sich bringen, ist schon die halbe Miete.
Zunehmend (Gott sei Dank) legt DevOps auch Wert auf bewährte Sicherheitspraktiken als Teil des Prozesses, entmystifiziert diesen Schritt und überbrückt die Kluft zwischen dem Sicherheitsteam und, nun ja, allen anderen. Wie ich bereits gesagt habe, haben wir noch einen langen Weg vor uns, um Entwickler zu befähigen, von Anfang an sicher zu programmieren, aber die erfolgreiche Implementierung von DevOps-Methoden ist eine hervorragende Grundlage, auf der Sicherheitskompetenzen innerhalb des Entwicklungsteams aufgebaut werden können.
Automatisierung ist nicht alles (und auch nicht das Sicherste).
Ein weiteres Merkmal der DevOps-Methodik ist, bis zu einem gewissen Grad, die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und der kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und, wie Sie wahrscheinlich erraten können, sehr abhängig von Tools.
Tools sind großartig, das sind sie wirklich. Sie können den Softwareentwicklungsprozess in beispielloser Geschwindigkeit vorantreiben, indem sie das Code-Repository, die Tests, die Wartung und die Speicherelemente relativ nahtlos verwalten.
Doch auch wenn Roboter eines Tages alle unsere Jobs übernehmen und uns gefangen halten könnten, sind sie definitiv noch nicht so weit. Die starke Abhängigkeit von Tools und Automatisierung lässt ein Fenster weit offen für Fehler. Scans und Tests erkennen möglicherweise nicht alles, Code kann ungeprüft bleiben, was im Nachhinein zu enormen Qualitäts- (ganz zu schweigen von Sicherheits-) Problemen führt. Ein Angreifer braucht nur eine Hintertür auszunutzen, um Daten zu stehlen, und der Verzicht auf das menschliche Element bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
Der "goldene Mittelweg" besteht darin, ein Gleichgewicht zwischen Menschen und Werkzeugen zu schaffen. Tools sollten als Assistenten für ein Team dienen, dem Sie vertrauen, die Projektziele zu erreichen. Das sollten Sie:
- Planen Sie genügend Zeit ein, damit sich die Mitarbeiter mit der gewählten DevOps-Toolchain vertraut machen können
- Fokus auf effektive Zusammenarbeit (und wie die Tools dies unterstützen können)
- Adressieren Sie alle Lücken im Prozess, unabhängig davon, ob es sich um Fähigkeiten/Wissen oder um Werkzeuge handelt.
Kurz gesagt, rüsten Sie nicht einfach "auf" und hoffen Sie auf das Beste.
DevOps ist kein Modewort, sondern eine Kultur. Wachsen Sie Ihre?
Change Management ist in den besten Zeiten schwierig. Die Angst vor dem Unbekannten kann selbst die brillantesten Teammitglieder davon abhalten, ihre Fähigkeiten auszubauen und ihren Horizont zu erweitern.
Sehen Sie, einfach nur zu sagen "lasst uns DevOps machen" und das Betriebsteam dazu zu bringen, den Schreibtisch zu wechseln, wird nicht auf magische Weise einen erfolgreichen Prozess implementieren. Viele werden verwirrt sein, und langjährige Teammitglieder werden verärgert zurückbleiben. Die Kommunikation der Erwartungen ist von entscheidender Bedeutung, ebenso wie das "Gehen des Weges". DevOps stellt eine kulturelle Bewegung dar, genauso wie eine Entwicklungsmethodik, und ein Team sollte eine funktionsübergreifende, kollaborative Denkweise leben und atmen.
Wie sieht eine großartige DevOps-Kultur aus?
- Einzelpersonen sind befähigt, ihr Fachwissen in einen Prozess einzubringen, nicht nur Führungskräfte
- Offene, ehrliche und respektvolle Kommunikation zwischen Teams
- Jede Person übernimmt die Verantwortung für das Gesamtziel, Qualität und Sicherheit in den Entwicklungsprozess einzubauen
- Jeder ist auf derselben Seite mit der Definition von DevOps im Unternehmen, der Roadmap und dem Wie/Was/Warum der Rolle jeder Person.
Seit Jahren betone ich, wie wichtig der Aufbau einer positiven Sicherheitskultur in Entwicklungsteams ist, und das ist bei DevOps nicht anders.
Die richtigen Tools, das richtige Wissen und der richtige Support sind unerlässlich, um Best Practices für die Sicherheit zu erreichen, einen Rückgang der entdeckten Schwachstellen zu sehen und dem Team die Augen zu öffnen, wie wichtig der Schutz unserer Daten ist. Mit DevOps müssen Sie die kulturelle Grundlage für positive Veränderungen schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen, die allgemeinen Projektziele und die Schritte im Prozess versteht.
Haben Sie das gemeistert? Prima. Dann lassen Sie uns jetzt die Nadel verschieben, den Sicherheitsaspekt erhöhen und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Dieser Artikel wurde ursprünglich veröffentlicht auf DevOps.de. Er wurde aktualisiert und geändert.
Ähnlich wie "Blockchain", "Big Data" und "Digital Disruption" ist der Begriff "DevOps" ein weiteres Buzzword, das derzeit in den IT-Abteilungen großer Unternehmen herumgereicht wird.
Viele haben (richtigerweise) den Bedarf an schnelleren Softwareentwicklungs-Lebenszyklen erkannt; ein präziserer Prozess, der eng mit den Geschäftszielen abgestimmt ist und einen klareren Arbeitsablauf und eine bessere Zusammenarbeit zwischen den Entwicklungs- und Betriebsteams ermöglicht. DevOps ist im Wesentlichen eine "agile" Entwicklung, die erwachsen geworden und bereit ist, sich den ständig innovativen und schnell bereitstellenden Anforderungen des modernen Unternehmens zu stellen. Für Sicherheitsexperten ist es eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess einbringen, die Kosten für die Behebung von Fehlern reduzieren und potenzielle Katastrophen im Nachhinein vermeiden.
Das Problem ist, dass nur wenige Unternehmen bei ihrer DevOps-Implementierung wirklich erfolgreich sind. Ohne die richtige Unterstützung, Pflege und das Verständnis im gesamten Unternehmen kann es schnell zu einem weißen Elefanten werden... Sie wissen schon, eines dieser "Erwähnen Sie den Krieg nicht"-Projekte.
Wo liegt also das Problem? Es ist eine interessante Diskussion, und es gibt ein paar Möglichkeiten, DevOps anzugehen, die meiner Meinung nach für einen viel reibungsloseren Ablauf sorgen werden. Ein effektives Programm geht über ein paar ausgefallene neue Tools, Titel und Team-Meetings hinaus. Es wird nicht immer einfach sein, aber wenn man sich die Zeit nimmt, eine kaputte Strategie zu korrigieren (oder sie von Anfang an richtig zu implementieren), wird es auf lange Sicht viel weniger schmerzhaft sein. Und letztendlich wird es zu einer höheren Qualität und Sicherheit der Software führen.
Lassen Sie uns das aufschlüsseln:
Lassen Sie die "Agile"-Schürzenbänder los.
Es gibt ein gewisses Missverständnis, dass eine Organisation sich zwischen Agile oder DevOps entscheiden muss und den einen oder anderen Weg einschlägt, um nie wieder zurückzublicken.
Die Sache ist die, dass der Entwicklungsprozess am besten funktioniert, wenn beides als Einheit betrachtet und umgesetzt wird. DevOps ist keine Neuerfindung der agilen Entwicklung, sondern eine Erweiterung derselben. Die Räder neigen dazu, abzufallen, wenn die Erwartung besteht, dass der Prozess genau wie Agile oder völlig anders als Agile sein wird.
Agile unterstützt das Prinzip der funktionsübergreifenden Teams, indem es Designer, Tester und Entwickler von Anfang an zusammenbringt und sich für offene Kommunikationslinien während eines Projekts einsetzt. Ziel ist es, die siloartige Bereitstellung zu beenden und die doppelte Bearbeitung zu reduzieren - beides sind ebenfalls Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter und bezieht Systeme, Sicherheit und Betrieb mit ein, um ein robustes, durchgängiges Skillset zu bieten, das das ultimative Ziel der vollständigen, funktionalen Softwareauslieferung an den Kunden verfolgt.
Während der unvermeidlichen Schmerzpunkte bei der Umstellung auf einen stärker DevOps-zentrierten Prozess kann das Risiko einer siloartigen Entwicklung wieder auftauchen. Oft arbeitet das ursprüngliche Agile-Team zusammen, während die Sicherheits- und Betriebsergänzungen noch ihren Weg in die Maschine finden; niemand ist sich ganz sicher, wie man sie einbezieht, was sie tun sollen und welche Ziele sie insgesamt verfolgen.
DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifendes Onboarding und direkte Kommunikation mit allen Beteiligten. Sicherlich wird es eine Anpassungsphase geben, die ein sorgfältiges Änderungsmanagement erfordert, aber alle auf die gleiche Seite mit den Verbesserungen zu bringen, die DevOps-Funktionen mit sich bringen, ist schon die halbe Miete.
Zunehmend (Gott sei Dank) legt DevOps auch Wert auf bewährte Sicherheitspraktiken als Teil des Prozesses, entmystifiziert diesen Schritt und überbrückt die Kluft zwischen dem Sicherheitsteam und, nun ja, allen anderen. Wie ich bereits gesagt habe, haben wir noch einen langen Weg vor uns, um Entwickler zu befähigen, von Anfang an sicher zu programmieren, aber die erfolgreiche Implementierung von DevOps-Methoden ist eine hervorragende Grundlage, auf der Sicherheitskompetenzen innerhalb des Entwicklungsteams aufgebaut werden können.
Automatisierung ist nicht alles (und auch nicht das Sicherste).
Ein weiteres Merkmal der DevOps-Methodik ist, bis zu einem gewissen Grad, die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und der kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und, wie Sie wahrscheinlich erraten können, sehr abhängig von Tools.
Tools sind großartig, das sind sie wirklich. Sie können den Softwareentwicklungsprozess in beispielloser Geschwindigkeit vorantreiben, indem sie das Code-Repository, die Tests, die Wartung und die Speicherelemente relativ nahtlos verwalten.
Doch auch wenn Roboter eines Tages alle unsere Jobs übernehmen und uns gefangen halten könnten, sind sie definitiv noch nicht so weit. Die starke Abhängigkeit von Tools und Automatisierung lässt ein Fenster weit offen für Fehler. Scans und Tests erkennen möglicherweise nicht alles, Code kann ungeprüft bleiben, was im Nachhinein zu enormen Qualitäts- (ganz zu schweigen von Sicherheits-) Problemen führt. Ein Angreifer braucht nur eine Hintertür auszunutzen, um Daten zu stehlen, und der Verzicht auf das menschliche Element bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
Der "goldene Mittelweg" besteht darin, ein Gleichgewicht zwischen Menschen und Werkzeugen zu schaffen. Tools sollten als Assistenten für ein Team dienen, dem Sie vertrauen, die Projektziele zu erreichen. Das sollten Sie:
- Planen Sie genügend Zeit ein, damit sich die Mitarbeiter mit der gewählten DevOps-Toolchain vertraut machen können
- Fokus auf effektive Zusammenarbeit (und wie die Tools dies unterstützen können)
- Adressieren Sie alle Lücken im Prozess, unabhängig davon, ob es sich um Fähigkeiten/Wissen oder um Werkzeuge handelt.
Kurz gesagt, rüsten Sie nicht einfach "auf" und hoffen Sie auf das Beste.
DevOps ist kein Modewort, sondern eine Kultur. Wachsen Sie Ihre?
Change Management ist in den besten Zeiten schwierig. Die Angst vor dem Unbekannten kann selbst die brillantesten Teammitglieder davon abhalten, ihre Fähigkeiten auszubauen und ihren Horizont zu erweitern.
Sehen Sie, einfach nur zu sagen "lasst uns DevOps machen" und das Betriebsteam dazu zu bringen, den Schreibtisch zu wechseln, wird nicht auf magische Weise einen erfolgreichen Prozess implementieren. Viele werden verwirrt sein, und langjährige Teammitglieder werden verärgert zurückbleiben. Die Kommunikation der Erwartungen ist von entscheidender Bedeutung, ebenso wie das "Gehen des Weges". DevOps stellt eine kulturelle Bewegung dar, genauso wie eine Entwicklungsmethodik, und ein Team sollte eine funktionsübergreifende, kollaborative Denkweise leben und atmen.
Wie sieht eine großartige DevOps-Kultur aus?
- Einzelpersonen sind befähigt, ihr Fachwissen in einen Prozess einzubringen, nicht nur Führungskräfte
- Offene, ehrliche und respektvolle Kommunikation zwischen Teams
- Jede Person übernimmt die Verantwortung für das Gesamtziel, Qualität und Sicherheit in den Entwicklungsprozess einzubauen
- Jeder ist auf derselben Seite mit der Definition von DevOps im Unternehmen, der Roadmap und dem Wie/Was/Warum der Rolle jeder Person.
Seit Jahren betone ich, wie wichtig der Aufbau einer positiven Sicherheitskultur in Entwicklungsteams ist, und das ist bei DevOps nicht anders.
Die richtigen Tools, das richtige Wissen und der richtige Support sind unerlässlich, um Best Practices für die Sicherheit zu erreichen, einen Rückgang der entdeckten Schwachstellen zu sehen und dem Team die Augen zu öffnen, wie wichtig der Schutz unserer Daten ist. Mit DevOps müssen Sie die kulturelle Grundlage für positive Veränderungen schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen, die allgemeinen Projektziele und die Schritte im Prozess versteht.
Haben Sie das gemeistert? Prima. Dann lassen Sie uns jetzt die Nadel verschieben, den Sicherheitsaspekt erhöhen und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Aussagekräftige Daten über den Erfolg von Secure-by-Design-Initiativen zu finden, ist bekanntermaßen schwierig. CISOs stehen oft vor der Herausforderung, den Return on Investment (ROI) und den Geschäftswert von Sicherheitsprogrammen sowohl auf Mitarbeiter- als auch auf Unternehmensebene nachzuweisen. Ganz zu schweigen davon, dass es für Unternehmen besonders schwierig ist, Erkenntnisse darüber zu gewinnen, wie ihre Organisation im Vergleich zu aktuellen Branchenstandards abschneidet. Die Nationale Cybersicherheitsstrategie des Präsidenten forderte die Beteiligten auf, "Sicherheit und Widerstandsfähigkeit durch Design" zu erreichen. Der Schlüssel zum Erfolg von Secure-by-Design-Initiativen liegt nicht nur darin, Entwicklern die nötigen Fähigkeiten zu vermitteln, um sicheren Code zu gewährleisten, sondern auch darin, den Aufsichtsbehörden zu versichern, dass diese Fähigkeiten vorhanden sind. In dieser Präsentation stellen wir eine Vielzahl von qualitativen und quantitativen Daten vor, die aus verschiedenen Primärquellen stammen, darunter interne Daten von über 250.000 Entwicklern, datengestützte Kundeneinblicke und öffentliche Studien. Auf der Grundlage dieser gesammelten Daten wollen wir eine Vision des aktuellen Stands von Secure-by-Design-Initiativen in verschiedenen Branchen vermitteln. Der Bericht zeigt auf, warum dieser Bereich derzeit nicht ausreichend genutzt wird, welche erheblichen Auswirkungen ein erfolgreiches Schulungsprogramm auf die Minderung von Cybersecurity-Risiken haben kann und welches Potenzial zur Beseitigung von Schwachstellen in einer Codebasis besteht.
In diesem Monat des Cyber-Bewusstseins wird aus Bewusstsein Handeln
Lassen Sie diesen Oktober das Bewusstsein in Aktion treten. Machen Sie den Cyber Awareness Month für Ihre Entwickler zu einem denkwürdigen Ereignis mit großer Wirkung und hoher Beteiligung - geleitet vom Secure Code Warrior Professional Services Team.
Professionelle Dienstleistungen - Beschleunigen Sie mit Fachwissen
Das PSS-Team (Program Strategy Services) von Secure Code Warriorunterstützt Sie beim Aufbau, der Verbesserung und der Optimierung Ihres Programms für sichere Codierung. Ganz gleich, ob Sie neu anfangen oder Ihren Ansatz verfeinern möchten, unsere Experten bieten Ihnen maßgeschneiderte Beratung.
Themen und Inhalte der Schulung zu sicherem Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sie an die sich ständig verändernde Softwareentwicklungslandschaft anzupassen und Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis XQuery Injection und werden für eine Vielzahl von Rollen angeboten, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Überblick über die Inhalte, die unser Katalog nach Thema und Rolle bietet.
Ressourcen für den Einstieg
Wird Vibe Coding Ihre Codebasis in eine Verbindungsparty verwandeln?
Vibe Coding ist wie eine College-Verbindungsparty, und AI ist das Herzstück aller Festivitäten, das Fass. Es macht eine Menge Spaß, sich auszutoben, kreativ zu werden und zu sehen, wohin die eigene Fantasie einen führen kann, aber nach ein paar Bierfässern ist das Trinken (oder die Verwendung von KI) in Maßen zweifellos die sicherere langfristige Lösung.
Das Jahrzehnt der Defenders: Secure Code Warrior Zehnte Runde
Secure Code WarriorDas Gründungsteam von SCW ist zusammengeblieben und hat das Schiff ein ganzes Jahrzehnt lang durch alle Lektionen, Triumphe und Rückschläge gesteuert. Wir vergrößern uns und sind bereit für unser nächstes Kapitel, SCW 2.0, als führendes Unternehmen im Risikomanagement für Entwickler.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
