Warum die DevOps-Implementierung oft erfolglos ist (und wie Sie das beheben können)
Dieser Artikel wurde ursprünglich veröffentlicht am DevOps.com. Er wurde aktualisiert und geändert.
Ähnlich wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist der Begriff „DevOps“ ein weiteres Schlagwort, das derzeit in den IT-Abteilungen großer Unternehmen im Umlauf ist.
Viele haben (zu Recht) die Notwendigkeit schnellerer Softwareentwicklungszyklen erkannt; ein präziserer Prozess, der eng an den Geschäftszielen ausgerichtet ist und einen klareren Arbeitsablauf und eine klarere Zusammenarbeit zwischen den Entwicklungs- und Betriebsteams ermöglicht. DevOps ist im Grunde genommen eine „agile“ Entwicklung, die alle erwachsen und bereit ist, die sich ständig ändernden, sich schnell entwickelnden Anforderungen des modernen Unternehmens zu erfüllen. Für Sicherheitsexperten ist das eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess integrieren und so die Kosten für die Behebung von Fehlern reduzieren und potenzielle Katastrophen in der Zukunft vermeiden.
Das Problem ist, dass nur wenige Unternehmen bei ihrer DevOps-Implementierung wirklich erfolgreich sind. Ohne die richtige Unterstützung, Pflege und Verständnis im gesamten Unternehmen kann es schnell zu einem Fass ohne Boden werden... Sie wissen schon, eines dieser Projekte, bei denen der Krieg nicht erwähnt wird.
Also, was ist das Problem? Es ist eine interessante Diskussion, und es gibt ein paar Möglichkeiten, DevOps anzugehen, von denen ich glaube, dass sie für einen viel reibungsloseren Ablauf sorgen werden. Ein effektives Programm geht über ein paar schicke neue Tools, Titel und Teambesprechungen hinaus. Es wird nicht immer einfach sein, aber sich die Zeit zu nehmen, eine kaputte Strategie zu reparieren (oder sie von Anfang an richtig umzusetzen), wird auf lange Sicht weitaus weniger schmerzhaft sein. Und letztendlich wird dies zu einer qualitativ hochwertigeren und sichereren Software führen.
Lassen Sie uns das aufschlüsseln:
Lass die „Agile“-Schürzenschnüre los.
Es gibt ein gewisses Missverständnis, dass ein Unternehmen zwischen Agile und DevOps wählen muss und dabei den einen oder anderen Weg vorgeben muss, um niemals zurückzuschauen.
Die Sache ist, der Entwicklungsprozess funktioniert am besten, wenn beide als Einheit betrachtet und umgesetzt werden. DevOps ist keine Neuerfindung der agilen Entwicklung, sondern vielmehr eine Erweiterung davon. Die Räder neigen dazu, herunterzufallen, wenn die Erwartung besteht, dass der Prozess genau wie Agil oder ganz anders von Agile ist.
Agile unterstützt das Prinzip funktionsübergreifender Teams, bringt Designer, Tester und Entwickler von Anfang an zusammen und verpflichtet sich zu offenen Kommunikationswegen während des gesamten Projekts. Ziel ist es, die isolierte Bereitstellung zu beenden und die doppelte Bearbeitung zu reduzieren. Beides sind ebenfalls Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter und fügt Systeme, Sicherheit und Betrieb in den Mix ein, um ein robustes, durchgängiges Know-how zu bieten, das das ultimative Ziel hat, dem Kunden eine vollständige, funktionsfähige Softwarebereitstellung zu bieten.
Während der unvermeidlichen Probleme bei der Umstellung auf einen stärker auf DevOps ausgerichteten Prozess kann das Risiko einer isolierten Entwicklung erneut auftauchen. Oft kann das ursprüngliche Agile-Team zusammenarbeiten, während die Sicherheits- und Betriebserweiterungen immer noch ihren Weg in die Maschine finden. Niemand ist sich ganz sicher, wie man sie einbezieht, was sie tun sollten und welche allgemeinen Ziele sie verfolgen.
DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifendes Onboarding und direkte Kommunikation mit allen Beteiligten. Natürlich wird es eine Anpassungsphase geben, die ein sorgfältiges Change-Management erfordert, aber alle mit den Verbesserungen, die die DevOps-Funktionalität mit sich bringen wird, auf den gleichen Stand zu bringen, ist die halbe Miete.
Immer mehr (Gott sei Dank) legt DevOps auch als Teil des Prozesses Wert auf bewährte Sicherheitsverfahren, entmystifiziert diesen Schritt und überbrückt die Lücke zwischen dem Sicherheitsteam und allen anderen. Wie ich bereits sagte, haben wir noch einen langen Weg vor uns, um Entwickler zu befähigen, von Anfang an sicher zu programmieren, aber die erfolgreiche Implementierung von DevOps-Methoden ist eine hervorragende Grundlage, auf der Sicherheitskompetenzen innerhalb des Entwicklungsteams aufgebaut werden können.
Automatisierung ist nicht alles (und sie ist nicht die sicherste).
Ein weiteres Merkmal der DevOps-Methodik ist bis zu einem gewissen Grad die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und, wie Sie sich wahrscheinlich vorstellen können, sehr abhängig von Tools.
Tools sind fantastisch, das sind sie wirklich. Sie können den Softwarebereitstellungsprozess beispiellos beschleunigen und das Code-Repository sowie die Test-, Wartungs- und Speicherelemente relativ problemlos verwalten.
Roboter könnten zwar alle unsere Jobs wegnehmen und uns eines Tages einsperren, aber sie sind definitiv noch nicht da. Die starke Abhängigkeit von Tools und Automatisierung lässt ein großes Fenster für Fehler offen. Scans und Tests erfassen möglicherweise nicht alles, Code bleibt möglicherweise ungeprüft, und das führt später zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen). Ein Angreifer braucht nur eine Hintertür, um Daten auszunutzen, und der Verzicht auf die menschliche Komponente bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
Die „goldene Mitte“ besteht darin, sicherzustellen, dass Sie ein ausgewogenes Verhältnis zwischen den Menschen und den Werkzeugen haben. Werkzeuge sollten als Assistenten für ein Team dienen, dem Sie vertrauen, um die Projektziele zu erreichen. Sie sollten:
- Planen Sie genügend Zeit ein, damit sich die Mitarbeiter mit der ausgewählten DevOps-Toolchain vertraut machen können.
- Konzentrieren Sie sich auf eine effektive Zusammenarbeit (und darauf, wie die Tools dies unterstützen können)
- Schließen Sie alle Lücken im Prozess, unabhängig davon, ob sie auf Fähigkeiten, Kenntnissen oder Tools beruhen.
Kurz gesagt: Rüsten Sie nicht einfach auf und hoffen Sie auf das Beste.
DevOps ist kein Schlagwort, es ist eine Kultur. Baust du deine aus?
Change Management ist im besten Fall schwierig. Die Angst vor dem Unbekannten kann selbst die brillantesten Teammitglieder davon abhalten, ihre Fähigkeiten zu erweitern und ihren Horizont zu erweitern.
, Sie sehen, nur zu sagen „Lass uns DevOps machen“ und das Betriebsteam dazu zu bringen, die Schreibtische zu verlagern, wird nicht auf magische Weise einen erfolgreichen Prozess implementieren. Viele werden verwirrt sein, und langjährige Teammitglieder werden sich verärgert fühlen. Die Kommunikation der Erwartungen ist von entscheidender Bedeutung, ebenso wie „den eigenen Weg gehen“. DevOps ist ebenso eine kulturelle Bewegung wie eine Entwicklungsmethodik, und ein Team sollte eine funktionsübergreifende, kollaborative Denkweise leben und atmen.
Wie sieht eine großartige DevOps-Kultur aus?
- Einzelpersonen werden befähigt, ihr Fachwissen in einen Prozess einzubringen, nicht nur Führungskräfte.
- Offene, ehrliche und respektvolle Kommunikation zwischen Teams
- Jede Person übernimmt die Verantwortung für das Gesamtziel der Gebäudequalität und -sicherheit im Entwicklungsprozess.
- Alle sind sich einig, was die Definition von DevOps im Unternehmen, die Roadmap und das Wie/Was/Warum der Rolle der einzelnen Personen angeht.
Jahrelang habe ich betont, wie wichtig es ist, positive Sicherheitskulturen in Entwicklungsteams aufzubauen, und DevOps ist da nicht anders.
Die richtigen Tools, das richtige Wissen und der richtige Support sind unerlässlich, um bewährte Sicherheitsverfahren umzusetzen, einen Rückgang der entdeckten Sicherheitslücken zu beobachten und dem Team die Augen für die Bedeutung des Schutzes unserer Daten zu öffnen. Mit DevOps müssen Sie die kulturellen Grundlagen für positive Veränderungen schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen sowie die allgemeinen Projektziele und die einzelnen Schritte im Prozess versteht.
Hast du das gemeistert? Großartig. Lassen Sie uns nun die Nadel wechseln, den Sicherheitsaspekt näher beleuchten und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.
Nur wenige Unternehmen sind bei ihrer DevOps-Implementierung wirklich erfolgreich. Der richtige Support, die richtige Pflege und das richtige Verständnis für das gesamte Unternehmen können Ihren Prozess jedoch verändern.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Dieser Artikel wurde ursprünglich veröffentlicht am DevOps.com. Er wurde aktualisiert und geändert.
Ähnlich wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist der Begriff „DevOps“ ein weiteres Schlagwort, das derzeit in den IT-Abteilungen großer Unternehmen im Umlauf ist.
Viele haben (zu Recht) die Notwendigkeit schnellerer Softwareentwicklungszyklen erkannt; ein präziserer Prozess, der eng an den Geschäftszielen ausgerichtet ist und einen klareren Arbeitsablauf und eine klarere Zusammenarbeit zwischen den Entwicklungs- und Betriebsteams ermöglicht. DevOps ist im Grunde genommen eine „agile“ Entwicklung, die alle erwachsen und bereit ist, die sich ständig ändernden, sich schnell entwickelnden Anforderungen des modernen Unternehmens zu erfüllen. Für Sicherheitsexperten ist das eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess integrieren und so die Kosten für die Behebung von Fehlern reduzieren und potenzielle Katastrophen in der Zukunft vermeiden.
Das Problem ist, dass nur wenige Unternehmen bei ihrer DevOps-Implementierung wirklich erfolgreich sind. Ohne die richtige Unterstützung, Pflege und Verständnis im gesamten Unternehmen kann es schnell zu einem Fass ohne Boden werden... Sie wissen schon, eines dieser Projekte, bei denen der Krieg nicht erwähnt wird.
Also, was ist das Problem? Es ist eine interessante Diskussion, und es gibt ein paar Möglichkeiten, DevOps anzugehen, von denen ich glaube, dass sie für einen viel reibungsloseren Ablauf sorgen werden. Ein effektives Programm geht über ein paar schicke neue Tools, Titel und Teambesprechungen hinaus. Es wird nicht immer einfach sein, aber sich die Zeit zu nehmen, eine kaputte Strategie zu reparieren (oder sie von Anfang an richtig umzusetzen), wird auf lange Sicht weitaus weniger schmerzhaft sein. Und letztendlich wird dies zu einer qualitativ hochwertigeren und sichereren Software führen.
Lassen Sie uns das aufschlüsseln:
Lass die „Agile“-Schürzenschnüre los.
Es gibt ein gewisses Missverständnis, dass ein Unternehmen zwischen Agile und DevOps wählen muss und dabei den einen oder anderen Weg vorgeben muss, um niemals zurückzuschauen.
Die Sache ist, der Entwicklungsprozess funktioniert am besten, wenn beide als Einheit betrachtet und umgesetzt werden. DevOps ist keine Neuerfindung der agilen Entwicklung, sondern vielmehr eine Erweiterung davon. Die Räder neigen dazu, herunterzufallen, wenn die Erwartung besteht, dass der Prozess genau wie Agil oder ganz anders von Agile ist.
Agile unterstützt das Prinzip funktionsübergreifender Teams, bringt Designer, Tester und Entwickler von Anfang an zusammen und verpflichtet sich zu offenen Kommunikationswegen während des gesamten Projekts. Ziel ist es, die isolierte Bereitstellung zu beenden und die doppelte Bearbeitung zu reduzieren. Beides sind ebenfalls Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter und fügt Systeme, Sicherheit und Betrieb in den Mix ein, um ein robustes, durchgängiges Know-how zu bieten, das das ultimative Ziel hat, dem Kunden eine vollständige, funktionsfähige Softwarebereitstellung zu bieten.
Während der unvermeidlichen Probleme bei der Umstellung auf einen stärker auf DevOps ausgerichteten Prozess kann das Risiko einer isolierten Entwicklung erneut auftauchen. Oft kann das ursprüngliche Agile-Team zusammenarbeiten, während die Sicherheits- und Betriebserweiterungen immer noch ihren Weg in die Maschine finden. Niemand ist sich ganz sicher, wie man sie einbezieht, was sie tun sollten und welche allgemeinen Ziele sie verfolgen.
DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifendes Onboarding und direkte Kommunikation mit allen Beteiligten. Natürlich wird es eine Anpassungsphase geben, die ein sorgfältiges Change-Management erfordert, aber alle mit den Verbesserungen, die die DevOps-Funktionalität mit sich bringen wird, auf den gleichen Stand zu bringen, ist die halbe Miete.
Immer mehr (Gott sei Dank) legt DevOps auch als Teil des Prozesses Wert auf bewährte Sicherheitsverfahren, entmystifiziert diesen Schritt und überbrückt die Lücke zwischen dem Sicherheitsteam und allen anderen. Wie ich bereits sagte, haben wir noch einen langen Weg vor uns, um Entwickler zu befähigen, von Anfang an sicher zu programmieren, aber die erfolgreiche Implementierung von DevOps-Methoden ist eine hervorragende Grundlage, auf der Sicherheitskompetenzen innerhalb des Entwicklungsteams aufgebaut werden können.
Automatisierung ist nicht alles (und sie ist nicht die sicherste).
Ein weiteres Merkmal der DevOps-Methodik ist bis zu einem gewissen Grad die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und, wie Sie sich wahrscheinlich vorstellen können, sehr abhängig von Tools.
Tools sind fantastisch, das sind sie wirklich. Sie können den Softwarebereitstellungsprozess beispiellos beschleunigen und das Code-Repository sowie die Test-, Wartungs- und Speicherelemente relativ problemlos verwalten.
Roboter könnten zwar alle unsere Jobs wegnehmen und uns eines Tages einsperren, aber sie sind definitiv noch nicht da. Die starke Abhängigkeit von Tools und Automatisierung lässt ein großes Fenster für Fehler offen. Scans und Tests erfassen möglicherweise nicht alles, Code bleibt möglicherweise ungeprüft, und das führt später zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen). Ein Angreifer braucht nur eine Hintertür, um Daten auszunutzen, und der Verzicht auf die menschliche Komponente bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
Die „goldene Mitte“ besteht darin, sicherzustellen, dass Sie ein ausgewogenes Verhältnis zwischen den Menschen und den Werkzeugen haben. Werkzeuge sollten als Assistenten für ein Team dienen, dem Sie vertrauen, um die Projektziele zu erreichen. Sie sollten:
- Planen Sie genügend Zeit ein, damit sich die Mitarbeiter mit der ausgewählten DevOps-Toolchain vertraut machen können.
- Konzentrieren Sie sich auf eine effektive Zusammenarbeit (und darauf, wie die Tools dies unterstützen können)
- Schließen Sie alle Lücken im Prozess, unabhängig davon, ob sie auf Fähigkeiten, Kenntnissen oder Tools beruhen.
Kurz gesagt: Rüsten Sie nicht einfach auf und hoffen Sie auf das Beste.
DevOps ist kein Schlagwort, es ist eine Kultur. Baust du deine aus?
Change Management ist im besten Fall schwierig. Die Angst vor dem Unbekannten kann selbst die brillantesten Teammitglieder davon abhalten, ihre Fähigkeiten zu erweitern und ihren Horizont zu erweitern.
, Sie sehen, nur zu sagen „Lass uns DevOps machen“ und das Betriebsteam dazu zu bringen, die Schreibtische zu verlagern, wird nicht auf magische Weise einen erfolgreichen Prozess implementieren. Viele werden verwirrt sein, und langjährige Teammitglieder werden sich verärgert fühlen. Die Kommunikation der Erwartungen ist von entscheidender Bedeutung, ebenso wie „den eigenen Weg gehen“. DevOps ist ebenso eine kulturelle Bewegung wie eine Entwicklungsmethodik, und ein Team sollte eine funktionsübergreifende, kollaborative Denkweise leben und atmen.
Wie sieht eine großartige DevOps-Kultur aus?
- Einzelpersonen werden befähigt, ihr Fachwissen in einen Prozess einzubringen, nicht nur Führungskräfte.
- Offene, ehrliche und respektvolle Kommunikation zwischen Teams
- Jede Person übernimmt die Verantwortung für das Gesamtziel der Gebäudequalität und -sicherheit im Entwicklungsprozess.
- Alle sind sich einig, was die Definition von DevOps im Unternehmen, die Roadmap und das Wie/Was/Warum der Rolle der einzelnen Personen angeht.
Jahrelang habe ich betont, wie wichtig es ist, positive Sicherheitskulturen in Entwicklungsteams aufzubauen, und DevOps ist da nicht anders.
Die richtigen Tools, das richtige Wissen und der richtige Support sind unerlässlich, um bewährte Sicherheitsverfahren umzusetzen, einen Rückgang der entdeckten Sicherheitslücken zu beobachten und dem Team die Augen für die Bedeutung des Schutzes unserer Daten zu öffnen. Mit DevOps müssen Sie die kulturellen Grundlagen für positive Veränderungen schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen sowie die allgemeinen Projektziele und die einzelnen Schritte im Prozess versteht.
Hast du das gemeistert? Großartig. Lassen Sie uns nun die Nadel wechseln, den Sicherheitsaspekt näher beleuchten und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.
Dieser Artikel wurde ursprünglich veröffentlicht am DevOps.com. Er wurde aktualisiert und geändert.
Ähnlich wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist der Begriff „DevOps“ ein weiteres Schlagwort, das derzeit in den IT-Abteilungen großer Unternehmen im Umlauf ist.
Viele haben (zu Recht) die Notwendigkeit schnellerer Softwareentwicklungszyklen erkannt; ein präziserer Prozess, der eng an den Geschäftszielen ausgerichtet ist und einen klareren Arbeitsablauf und eine klarere Zusammenarbeit zwischen den Entwicklungs- und Betriebsteams ermöglicht. DevOps ist im Grunde genommen eine „agile“ Entwicklung, die alle erwachsen und bereit ist, die sich ständig ändernden, sich schnell entwickelnden Anforderungen des modernen Unternehmens zu erfüllen. Für Sicherheitsexperten ist das eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess integrieren und so die Kosten für die Behebung von Fehlern reduzieren und potenzielle Katastrophen in der Zukunft vermeiden.
Das Problem ist, dass nur wenige Unternehmen bei ihrer DevOps-Implementierung wirklich erfolgreich sind. Ohne die richtige Unterstützung, Pflege und Verständnis im gesamten Unternehmen kann es schnell zu einem Fass ohne Boden werden... Sie wissen schon, eines dieser Projekte, bei denen der Krieg nicht erwähnt wird.
Also, was ist das Problem? Es ist eine interessante Diskussion, und es gibt ein paar Möglichkeiten, DevOps anzugehen, von denen ich glaube, dass sie für einen viel reibungsloseren Ablauf sorgen werden. Ein effektives Programm geht über ein paar schicke neue Tools, Titel und Teambesprechungen hinaus. Es wird nicht immer einfach sein, aber sich die Zeit zu nehmen, eine kaputte Strategie zu reparieren (oder sie von Anfang an richtig umzusetzen), wird auf lange Sicht weitaus weniger schmerzhaft sein. Und letztendlich wird dies zu einer qualitativ hochwertigeren und sichereren Software führen.
Lassen Sie uns das aufschlüsseln:
Lass die „Agile“-Schürzenschnüre los.
Es gibt ein gewisses Missverständnis, dass ein Unternehmen zwischen Agile und DevOps wählen muss und dabei den einen oder anderen Weg vorgeben muss, um niemals zurückzuschauen.
Die Sache ist, der Entwicklungsprozess funktioniert am besten, wenn beide als Einheit betrachtet und umgesetzt werden. DevOps ist keine Neuerfindung der agilen Entwicklung, sondern vielmehr eine Erweiterung davon. Die Räder neigen dazu, herunterzufallen, wenn die Erwartung besteht, dass der Prozess genau wie Agil oder ganz anders von Agile ist.
Agile unterstützt das Prinzip funktionsübergreifender Teams, bringt Designer, Tester und Entwickler von Anfang an zusammen und verpflichtet sich zu offenen Kommunikationswegen während des gesamten Projekts. Ziel ist es, die isolierte Bereitstellung zu beenden und die doppelte Bearbeitung zu reduzieren. Beides sind ebenfalls Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter und fügt Systeme, Sicherheit und Betrieb in den Mix ein, um ein robustes, durchgängiges Know-how zu bieten, das das ultimative Ziel hat, dem Kunden eine vollständige, funktionsfähige Softwarebereitstellung zu bieten.
Während der unvermeidlichen Probleme bei der Umstellung auf einen stärker auf DevOps ausgerichteten Prozess kann das Risiko einer isolierten Entwicklung erneut auftauchen. Oft kann das ursprüngliche Agile-Team zusammenarbeiten, während die Sicherheits- und Betriebserweiterungen immer noch ihren Weg in die Maschine finden. Niemand ist sich ganz sicher, wie man sie einbezieht, was sie tun sollten und welche allgemeinen Ziele sie verfolgen.
DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifendes Onboarding und direkte Kommunikation mit allen Beteiligten. Natürlich wird es eine Anpassungsphase geben, die ein sorgfältiges Change-Management erfordert, aber alle mit den Verbesserungen, die die DevOps-Funktionalität mit sich bringen wird, auf den gleichen Stand zu bringen, ist die halbe Miete.
Immer mehr (Gott sei Dank) legt DevOps auch als Teil des Prozesses Wert auf bewährte Sicherheitsverfahren, entmystifiziert diesen Schritt und überbrückt die Lücke zwischen dem Sicherheitsteam und allen anderen. Wie ich bereits sagte, haben wir noch einen langen Weg vor uns, um Entwickler zu befähigen, von Anfang an sicher zu programmieren, aber die erfolgreiche Implementierung von DevOps-Methoden ist eine hervorragende Grundlage, auf der Sicherheitskompetenzen innerhalb des Entwicklungsteams aufgebaut werden können.
Automatisierung ist nicht alles (und sie ist nicht die sicherste).
Ein weiteres Merkmal der DevOps-Methodik ist bis zu einem gewissen Grad die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und, wie Sie sich wahrscheinlich vorstellen können, sehr abhängig von Tools.
Tools sind fantastisch, das sind sie wirklich. Sie können den Softwarebereitstellungsprozess beispiellos beschleunigen und das Code-Repository sowie die Test-, Wartungs- und Speicherelemente relativ problemlos verwalten.
Roboter könnten zwar alle unsere Jobs wegnehmen und uns eines Tages einsperren, aber sie sind definitiv noch nicht da. Die starke Abhängigkeit von Tools und Automatisierung lässt ein großes Fenster für Fehler offen. Scans und Tests erfassen möglicherweise nicht alles, Code bleibt möglicherweise ungeprüft, und das führt später zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen). Ein Angreifer braucht nur eine Hintertür, um Daten auszunutzen, und der Verzicht auf die menschliche Komponente bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
Die „goldene Mitte“ besteht darin, sicherzustellen, dass Sie ein ausgewogenes Verhältnis zwischen den Menschen und den Werkzeugen haben. Werkzeuge sollten als Assistenten für ein Team dienen, dem Sie vertrauen, um die Projektziele zu erreichen. Sie sollten:
- Planen Sie genügend Zeit ein, damit sich die Mitarbeiter mit der ausgewählten DevOps-Toolchain vertraut machen können.
- Konzentrieren Sie sich auf eine effektive Zusammenarbeit (und darauf, wie die Tools dies unterstützen können)
- Schließen Sie alle Lücken im Prozess, unabhängig davon, ob sie auf Fähigkeiten, Kenntnissen oder Tools beruhen.
Kurz gesagt: Rüsten Sie nicht einfach auf und hoffen Sie auf das Beste.
DevOps ist kein Schlagwort, es ist eine Kultur. Baust du deine aus?
Change Management ist im besten Fall schwierig. Die Angst vor dem Unbekannten kann selbst die brillantesten Teammitglieder davon abhalten, ihre Fähigkeiten zu erweitern und ihren Horizont zu erweitern.
, Sie sehen, nur zu sagen „Lass uns DevOps machen“ und das Betriebsteam dazu zu bringen, die Schreibtische zu verlagern, wird nicht auf magische Weise einen erfolgreichen Prozess implementieren. Viele werden verwirrt sein, und langjährige Teammitglieder werden sich verärgert fühlen. Die Kommunikation der Erwartungen ist von entscheidender Bedeutung, ebenso wie „den eigenen Weg gehen“. DevOps ist ebenso eine kulturelle Bewegung wie eine Entwicklungsmethodik, und ein Team sollte eine funktionsübergreifende, kollaborative Denkweise leben und atmen.
Wie sieht eine großartige DevOps-Kultur aus?
- Einzelpersonen werden befähigt, ihr Fachwissen in einen Prozess einzubringen, nicht nur Führungskräfte.
- Offene, ehrliche und respektvolle Kommunikation zwischen Teams
- Jede Person übernimmt die Verantwortung für das Gesamtziel der Gebäudequalität und -sicherheit im Entwicklungsprozess.
- Alle sind sich einig, was die Definition von DevOps im Unternehmen, die Roadmap und das Wie/Was/Warum der Rolle der einzelnen Personen angeht.
Jahrelang habe ich betont, wie wichtig es ist, positive Sicherheitskulturen in Entwicklungsteams aufzubauen, und DevOps ist da nicht anders.
Die richtigen Tools, das richtige Wissen und der richtige Support sind unerlässlich, um bewährte Sicherheitsverfahren umzusetzen, einen Rückgang der entdeckten Sicherheitslücken zu beobachten und dem Team die Augen für die Bedeutung des Schutzes unserer Daten zu öffnen. Mit DevOps müssen Sie die kulturellen Grundlagen für positive Veränderungen schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen sowie die allgemeinen Projektziele und die einzelnen Schritte im Prozess versteht.
Hast du das gemeistert? Großartig. Lassen Sie uns nun die Nadel wechseln, den Sicherheitsaspekt näher beleuchten und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Dieser Artikel wurde ursprünglich veröffentlicht am DevOps.com. Er wurde aktualisiert und geändert.
Ähnlich wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist der Begriff „DevOps“ ein weiteres Schlagwort, das derzeit in den IT-Abteilungen großer Unternehmen im Umlauf ist.
Viele haben (zu Recht) die Notwendigkeit schnellerer Softwareentwicklungszyklen erkannt; ein präziserer Prozess, der eng an den Geschäftszielen ausgerichtet ist und einen klareren Arbeitsablauf und eine klarere Zusammenarbeit zwischen den Entwicklungs- und Betriebsteams ermöglicht. DevOps ist im Grunde genommen eine „agile“ Entwicklung, die alle erwachsen und bereit ist, die sich ständig ändernden, sich schnell entwickelnden Anforderungen des modernen Unternehmens zu erfüllen. Für Sicherheitsexperten ist das eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess integrieren und so die Kosten für die Behebung von Fehlern reduzieren und potenzielle Katastrophen in der Zukunft vermeiden.
Das Problem ist, dass nur wenige Unternehmen bei ihrer DevOps-Implementierung wirklich erfolgreich sind. Ohne die richtige Unterstützung, Pflege und Verständnis im gesamten Unternehmen kann es schnell zu einem Fass ohne Boden werden... Sie wissen schon, eines dieser Projekte, bei denen der Krieg nicht erwähnt wird.
Also, was ist das Problem? Es ist eine interessante Diskussion, und es gibt ein paar Möglichkeiten, DevOps anzugehen, von denen ich glaube, dass sie für einen viel reibungsloseren Ablauf sorgen werden. Ein effektives Programm geht über ein paar schicke neue Tools, Titel und Teambesprechungen hinaus. Es wird nicht immer einfach sein, aber sich die Zeit zu nehmen, eine kaputte Strategie zu reparieren (oder sie von Anfang an richtig umzusetzen), wird auf lange Sicht weitaus weniger schmerzhaft sein. Und letztendlich wird dies zu einer qualitativ hochwertigeren und sichereren Software führen.
Lassen Sie uns das aufschlüsseln:
Lass die „Agile“-Schürzenschnüre los.
Es gibt ein gewisses Missverständnis, dass ein Unternehmen zwischen Agile und DevOps wählen muss und dabei den einen oder anderen Weg vorgeben muss, um niemals zurückzuschauen.
Die Sache ist, der Entwicklungsprozess funktioniert am besten, wenn beide als Einheit betrachtet und umgesetzt werden. DevOps ist keine Neuerfindung der agilen Entwicklung, sondern vielmehr eine Erweiterung davon. Die Räder neigen dazu, herunterzufallen, wenn die Erwartung besteht, dass der Prozess genau wie Agil oder ganz anders von Agile ist.
Agile unterstützt das Prinzip funktionsübergreifender Teams, bringt Designer, Tester und Entwickler von Anfang an zusammen und verpflichtet sich zu offenen Kommunikationswegen während des gesamten Projekts. Ziel ist es, die isolierte Bereitstellung zu beenden und die doppelte Bearbeitung zu reduzieren. Beides sind ebenfalls Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter und fügt Systeme, Sicherheit und Betrieb in den Mix ein, um ein robustes, durchgängiges Know-how zu bieten, das das ultimative Ziel hat, dem Kunden eine vollständige, funktionsfähige Softwarebereitstellung zu bieten.
Während der unvermeidlichen Probleme bei der Umstellung auf einen stärker auf DevOps ausgerichteten Prozess kann das Risiko einer isolierten Entwicklung erneut auftauchen. Oft kann das ursprüngliche Agile-Team zusammenarbeiten, während die Sicherheits- und Betriebserweiterungen immer noch ihren Weg in die Maschine finden. Niemand ist sich ganz sicher, wie man sie einbezieht, was sie tun sollten und welche allgemeinen Ziele sie verfolgen.
DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifendes Onboarding und direkte Kommunikation mit allen Beteiligten. Natürlich wird es eine Anpassungsphase geben, die ein sorgfältiges Change-Management erfordert, aber alle mit den Verbesserungen, die die DevOps-Funktionalität mit sich bringen wird, auf den gleichen Stand zu bringen, ist die halbe Miete.
Immer mehr (Gott sei Dank) legt DevOps auch als Teil des Prozesses Wert auf bewährte Sicherheitsverfahren, entmystifiziert diesen Schritt und überbrückt die Lücke zwischen dem Sicherheitsteam und allen anderen. Wie ich bereits sagte, haben wir noch einen langen Weg vor uns, um Entwickler zu befähigen, von Anfang an sicher zu programmieren, aber die erfolgreiche Implementierung von DevOps-Methoden ist eine hervorragende Grundlage, auf der Sicherheitskompetenzen innerhalb des Entwicklungsteams aufgebaut werden können.
Automatisierung ist nicht alles (und sie ist nicht die sicherste).
Ein weiteres Merkmal der DevOps-Methodik ist bis zu einem gewissen Grad die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und, wie Sie sich wahrscheinlich vorstellen können, sehr abhängig von Tools.
Tools sind fantastisch, das sind sie wirklich. Sie können den Softwarebereitstellungsprozess beispiellos beschleunigen und das Code-Repository sowie die Test-, Wartungs- und Speicherelemente relativ problemlos verwalten.
Roboter könnten zwar alle unsere Jobs wegnehmen und uns eines Tages einsperren, aber sie sind definitiv noch nicht da. Die starke Abhängigkeit von Tools und Automatisierung lässt ein großes Fenster für Fehler offen. Scans und Tests erfassen möglicherweise nicht alles, Code bleibt möglicherweise ungeprüft, und das führt später zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen). Ein Angreifer braucht nur eine Hintertür, um Daten auszunutzen, und der Verzicht auf die menschliche Komponente bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
Die „goldene Mitte“ besteht darin, sicherzustellen, dass Sie ein ausgewogenes Verhältnis zwischen den Menschen und den Werkzeugen haben. Werkzeuge sollten als Assistenten für ein Team dienen, dem Sie vertrauen, um die Projektziele zu erreichen. Sie sollten:
- Planen Sie genügend Zeit ein, damit sich die Mitarbeiter mit der ausgewählten DevOps-Toolchain vertraut machen können.
- Konzentrieren Sie sich auf eine effektive Zusammenarbeit (und darauf, wie die Tools dies unterstützen können)
- Schließen Sie alle Lücken im Prozess, unabhängig davon, ob sie auf Fähigkeiten, Kenntnissen oder Tools beruhen.
Kurz gesagt: Rüsten Sie nicht einfach auf und hoffen Sie auf das Beste.
DevOps ist kein Schlagwort, es ist eine Kultur. Baust du deine aus?
Change Management ist im besten Fall schwierig. Die Angst vor dem Unbekannten kann selbst die brillantesten Teammitglieder davon abhalten, ihre Fähigkeiten zu erweitern und ihren Horizont zu erweitern.
, Sie sehen, nur zu sagen „Lass uns DevOps machen“ und das Betriebsteam dazu zu bringen, die Schreibtische zu verlagern, wird nicht auf magische Weise einen erfolgreichen Prozess implementieren. Viele werden verwirrt sein, und langjährige Teammitglieder werden sich verärgert fühlen. Die Kommunikation der Erwartungen ist von entscheidender Bedeutung, ebenso wie „den eigenen Weg gehen“. DevOps ist ebenso eine kulturelle Bewegung wie eine Entwicklungsmethodik, und ein Team sollte eine funktionsübergreifende, kollaborative Denkweise leben und atmen.
Wie sieht eine großartige DevOps-Kultur aus?
- Einzelpersonen werden befähigt, ihr Fachwissen in einen Prozess einzubringen, nicht nur Führungskräfte.
- Offene, ehrliche und respektvolle Kommunikation zwischen Teams
- Jede Person übernimmt die Verantwortung für das Gesamtziel der Gebäudequalität und -sicherheit im Entwicklungsprozess.
- Alle sind sich einig, was die Definition von DevOps im Unternehmen, die Roadmap und das Wie/Was/Warum der Rolle der einzelnen Personen angeht.
Jahrelang habe ich betont, wie wichtig es ist, positive Sicherheitskulturen in Entwicklungsteams aufzubauen, und DevOps ist da nicht anders.
Die richtigen Tools, das richtige Wissen und der richtige Support sind unerlässlich, um bewährte Sicherheitsverfahren umzusetzen, einen Rückgang der entdeckten Sicherheitslücken zu beobachten und dem Team die Augen für die Bedeutung des Schutzes unserer Daten zu öffnen. Mit DevOps müssen Sie die kulturellen Grundlagen für positive Veränderungen schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen sowie die allgemeinen Projektziele und die einzelnen Schritte im Prozess versteht.
Hast du das gemeistert? Großartig. Lassen Sie uns nun die Nadel wechseln, den Sicherheitsaspekt näher beleuchten und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 eröffnet unsere zehnteilige Reihe „Enabler of Success“ und zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und Geschwindigkeit verbunden werden kann, um eine langfristige Programmreife zu erreichen.
