Warum die Implementierung von DevOps oft scheitert (und wie man das beheben kann)
Dieser Artikel wurde ursprünglich auf DevOps.comveröffentlicht. Er wurde aktualisiert und geändert.
Genau wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist auch der Begriff „DevOps“ ein weiteres Modewort, das derzeit in den IT-Abteilungen großer Unternehmen verwendet wird.
Viele haben (zu Recht) erkannt, dass der Lebenszyklus der Softwareentwicklung beschleunigt werden muss: ein präziserer Prozess, der eng an den Geschäftszielen ausgerichtet ist und einen klareren Arbeitsablauf sowie eine Zusammenarbeit zwischen den für die Entwicklung und den Betrieb zuständigen Teams ermöglicht. DevOps ist im Wesentlichen eine „agile” Entwicklung, die entwickelt wurde, um den Anforderungen moderner Unternehmen nach ständiger Innovation und schneller Bereitstellung gerecht zu werden. Für Sicherheitsexperten ist dies eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess integrieren, wodurch die Kosten für die Behebung von Fehlern gesenkt und potenzielle Katastrophen vermieden werden.
Das Problem ist, dass nur wenige Unternehmen DevOps wirklich erfolgreich umsetzen können. Ohne die entsprechende Unterstützung, Förderung und das nötige Verständnis innerhalb des Unternehmens kann es schnell zu einem weißen Elefanten werden ... Sie wissen schon, eines dieser Projekte, über die man nicht spricht.
Also, wo liegt das Problem? Das ist eine interessante Diskussion, und es gibt mehrere Ansätze für DevOps, die meiner Meinung nach die Umsetzung erleichtern werden. Ein effektives Programm beschränkt sich nicht auf ein paar neue Tools, Titel und ausgefeilte Teambesprechungen. Es wird nicht immer einfach sein, aber sich die Zeit zu nehmen, eine fehlgeschlagene Strategie zu korrigieren (oder sie von Anfang an richtig umzusetzen), wird auf lange Sicht viel weniger mühsam sein. Letztendlich wird dies zu einer besseren und sichereren Software führen.
Décomposons-le :
Lassen Sie die Schnüre der Schürze „Agile“ los.
Es gibt ein Missverständnis, dass eine Organisation sich zwischen Agile und DevOps entscheiden muss, indem sie sich für einen Weg entscheidet und nie wieder zurückkehrt.
Tatsächlich funktioniert der Entwicklungsprozess am besten, wenn beide Ansätze als Einheit betrachtet und umgesetzt werden. DevOps ist keine Neuerfindung der agilen Entwicklung, sondern vielmehr eine Erweiterung davon. Probleme treten häufig dann auf, wenn erwartet wird, dass der Prozess genau wie Agile oder völlig anders als Agile ist.
Agile unterstützt das Prinzip funktionsübergreifender Teams, indem es Designer, Tester und Entwickler von Anfang an zusammenbringt und sich verpflichtet, während des gesamten Projekts offene Kommunikationswege zu gewährleisten. Sein Ziel ist es, die isolierte Lieferung zu beenden und Doppelarbeit zu reduzieren – zwei Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter, indem es Systeme, Sicherheit und Betrieb in den Mix integriert, um ein robustes End-to-End-Kompetenzpaket anzubieten, dessen oberstes Ziel darin besteht, dem Kunden vollständige und funktionsfähige Software zu liefern.
Bei den unvermeidlichen Schwierigkeiten, die mit der Umstellung auf einen stärker auf DevOps ausgerichteten Prozess verbunden sind, kann das Risiko einer isolierten Entwicklung wieder auftreten. Oft arbeitet das ursprüngliche Agile-Team zusammen, während die zusätzlichen Elemente in Bezug auf Sicherheit und Betrieb immer noch ihren Platz in der Maschine finden; niemand weiß wirklich, wie man sie einbeziehen soll, was sie tun sollen und was ihre allgemeinen Ziele sind.
DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifende Integration und direkte Kommunikation mit allen Beteiligten. Es wird natürlich eine Anpassungsphase geben, die ein sorgfältiges Change Management erfordert, aber dank der Verbesserungen durch die DevOps-Funktionen alle auf den gleichen Stand zu bringen, ist schon die halbe Miete.
Zunehmend (Gott sei Dank) legt DevOps auch den Schwerpunkt auf bewährte Sicherheitsverfahren im Rahmen des Prozesses, wodurch dieser Schritt entmystifiziert und die Kluft zwischen dem Sicherheitsteam und schließlich den anderen geschlossen wird. Wie ich bereits gesagt habe, haben wir noch einen langen Weg vor uns, bis Entwickler von Anfang an sicher programmieren können, aber die erfolgreiche Umsetzung von DevOps-Methoden bildet eine hervorragende Grundlage, auf der die Sicherheitskompetenzen innerhalb des Entwicklungsteams gestärkt werden können.
Automatisierung ist nicht alles (und auch nicht die sicherste Lösung).
Eine weitere Besonderheit der DevOps-Methodik ist in gewisser Weise die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und hängen, wie Sie sich wahrscheinlich denken können, weitgehend von den Tools ab.
Die Tools sind großartig, das sind sie wirklich. Sie können den Prozess der Softwarebereitstellung beispiellos beschleunigen, indem sie das Code-Repository, Tests, Wartung und Speicherelemente relativ reibungslos verwalten.
Allerdings sind Roboter zwar in der Lage, uns eines Tages alle Arbeitsplätze wegzunehmen und uns zu versklaven, aber davon sind wir noch weit entfernt. Die starke Abhängigkeit von Tools und Automatisierung lässt Raum für Fehler. Scans und Tests können möglicherweise nicht alles erkennen, der Code wird möglicherweise nicht überprüft, was langfristig zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen) führt. Ein Angreifer braucht nur eine einzige Hintertür, um Daten zu stehlen, und der Verzicht auf den menschlichen Faktor bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
Der „goldene Mittelweg“ besteht darin, ein Gleichgewicht zwischen Menschen und Werkzeugen zu finden. Die Werkzeuge sollten als Hilfsmittel für ein Team dienen, dem Sie vertrauen, um die Projektziele zu erreichen. Sie müssen:
- Planen Sie ausreichend Zeit ein, damit sich die Benutzer mit der ausgewählten DevOps-Toolkette vertraut machen können.
- Konzentrieren Sie sich auf eine effektive Zusammenarbeit (und darauf, wie Tools dazu beitragen können).
- Schließen Sie alle Lücken im Prozess, unabhängig davon, ob diese mit Kompetenzen, Kenntnissen oder Werkzeugen zusammenhängen.
Kurz gesagt: Geben Sie sich nicht damit zufrieden, sich „auszurüsten“ und zu hoffen, dass alles gut geht.
DevOps ist kein Modewort, sondern eine Kultur. Pflegen Sie Ihre eigene Kultur?
La gestion du changement est difficile dans le meilleur des cas. La peur de l'inconnu peut empêcher même les membres les plus brillants de l'équipe de développer leurs compétences et d'élargir leurs horizons.
Vous voyez, le simple fait de dire « Faisons DevOps » et de faire déplacer les bureaux de l'équipe des opérations ne suffira pas à mettre en œuvre un processus réussi comme par magie. Viele werden verwirrt sein und langjährige Teammitglieder werden unzufrieden sein. Die Kommunikation von Erwartungen ist ebenso entscheidend wie das „Vorleben von Handlungen”. DevOps ist ebenso eine kulturelle Bewegung wie eine Entwicklungsmethodik, und ein Team muss eine funktionsübergreifende und kollaborative Denkweise leben und atmen.
Wie sieht eine gute DevOps-Kultur aus?
- Einzelpersonen sind befugt, ihr Fachwissen in einen Prozess einzubringen, und nicht nur Führungskräfte.
- Offene, ehrliche und respektvolle Kommunikation zwischen den Teams
- Jede Person übernimmt Verantwortung für das übergeordnete Ziel, Qualität und Sicherheit in den Entwicklungsprozess zu integrieren.
- Alle sind sich einig, was die Definition von DevOps im Unternehmen, die Roadmap und das Wie, Was und Warum der jeweiligen Rollen angeht.
Seit Jahren betone ich, wie wichtig es ist, eine positive Sicherheitskultur in Entwicklungsteams zu schaffen, und DevOps bildet da keine Ausnahme.
Die richtigen Tools, Kenntnisse und Unterstützung sind unerlässlich, um Best Practices im Bereich Sicherheit anzuwenden, eine Verringerung der entdeckten Schwachstellen zu erzielen und dem Team die Bedeutung des Schutzes unserer Daten zu vermitteln. Mit DevOps müssen Sie die kulturellen Grundlagen für einen positiven Wandel schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen, die allgemeinen Ziele des Projekts und die einzelnen Schritte des Prozesses versteht.
Haben Sie das verstanden? Großartig. Jetzt lassen Sie uns etwas verändern, die Sicherheit verbessern und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.
Nur wenige Unternehmen schaffen es tatsächlich, DevOps erfolgreich zu implementieren. Die richtige Unterstützung, Betreuung und das richtige Verständnis innerhalb des Unternehmens können jedoch Ihren Prozess grundlegend verändern.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Dieser Artikel wurde ursprünglich auf DevOps.comveröffentlicht. Er wurde aktualisiert und geändert.
Genau wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist auch der Begriff „DevOps“ ein weiteres Modewort, das derzeit in den IT-Abteilungen großer Unternehmen verwendet wird.
Viele haben (zu Recht) erkannt, dass der Lebenszyklus der Softwareentwicklung beschleunigt werden muss: ein präziserer Prozess, der eng an den Geschäftszielen ausgerichtet ist und einen klareren Arbeitsablauf sowie eine Zusammenarbeit zwischen den für die Entwicklung und den Betrieb zuständigen Teams ermöglicht. DevOps ist im Wesentlichen eine „agile” Entwicklung, die entwickelt wurde, um den Anforderungen moderner Unternehmen nach ständiger Innovation und schneller Bereitstellung gerecht zu werden. Für Sicherheitsexperten ist dies eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess integrieren, wodurch die Kosten für die Behebung von Fehlern gesenkt und potenzielle Katastrophen vermieden werden.
Das Problem ist, dass nur wenige Unternehmen DevOps wirklich erfolgreich umsetzen können. Ohne die entsprechende Unterstützung, Förderung und das nötige Verständnis innerhalb des Unternehmens kann es schnell zu einem weißen Elefanten werden ... Sie wissen schon, eines dieser Projekte, über die man nicht spricht.
Also, wo liegt das Problem? Das ist eine interessante Diskussion, und es gibt mehrere Ansätze für DevOps, die meiner Meinung nach die Umsetzung erleichtern werden. Ein effektives Programm beschränkt sich nicht auf ein paar neue Tools, Titel und ausgefeilte Teambesprechungen. Es wird nicht immer einfach sein, aber sich die Zeit zu nehmen, eine fehlgeschlagene Strategie zu korrigieren (oder sie von Anfang an richtig umzusetzen), wird auf lange Sicht viel weniger mühsam sein. Letztendlich wird dies zu einer besseren und sichereren Software führen.
Décomposons-le :
Lassen Sie die Schnüre der Schürze „Agile“ los.
Es gibt ein Missverständnis, dass eine Organisation sich zwischen Agile und DevOps entscheiden muss, indem sie sich für einen Weg entscheidet und nie wieder zurückkehrt.
Tatsächlich funktioniert der Entwicklungsprozess am besten, wenn beide Ansätze als Einheit betrachtet und umgesetzt werden. DevOps ist keine Neuerfindung der agilen Entwicklung, sondern vielmehr eine Erweiterung davon. Probleme treten häufig dann auf, wenn erwartet wird, dass der Prozess genau wie Agile oder völlig anders als Agile ist.
Agile unterstützt das Prinzip funktionsübergreifender Teams, indem es Designer, Tester und Entwickler von Anfang an zusammenbringt und sich verpflichtet, während des gesamten Projekts offene Kommunikationswege zu gewährleisten. Sein Ziel ist es, die isolierte Lieferung zu beenden und Doppelarbeit zu reduzieren – zwei Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter, indem es Systeme, Sicherheit und Betrieb in den Mix integriert, um ein robustes End-to-End-Kompetenzpaket anzubieten, dessen oberstes Ziel darin besteht, dem Kunden vollständige und funktionsfähige Software zu liefern.
Bei den unvermeidlichen Schwierigkeiten, die mit der Umstellung auf einen stärker auf DevOps ausgerichteten Prozess verbunden sind, kann das Risiko einer isolierten Entwicklung wieder auftreten. Oft arbeitet das ursprüngliche Agile-Team zusammen, während die zusätzlichen Elemente in Bezug auf Sicherheit und Betrieb immer noch ihren Platz in der Maschine finden; niemand weiß wirklich, wie man sie einbeziehen soll, was sie tun sollen und was ihre allgemeinen Ziele sind.
DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifende Integration und direkte Kommunikation mit allen Beteiligten. Es wird natürlich eine Anpassungsphase geben, die ein sorgfältiges Change Management erfordert, aber dank der Verbesserungen durch die DevOps-Funktionen alle auf den gleichen Stand zu bringen, ist schon die halbe Miete.
Zunehmend (Gott sei Dank) legt DevOps auch den Schwerpunkt auf bewährte Sicherheitsverfahren im Rahmen des Prozesses, wodurch dieser Schritt entmystifiziert und die Kluft zwischen dem Sicherheitsteam und schließlich den anderen geschlossen wird. Wie ich bereits gesagt habe, haben wir noch einen langen Weg vor uns, bis Entwickler von Anfang an sicher programmieren können, aber die erfolgreiche Umsetzung von DevOps-Methoden bildet eine hervorragende Grundlage, auf der die Sicherheitskompetenzen innerhalb des Entwicklungsteams gestärkt werden können.
Automatisierung ist nicht alles (und auch nicht die sicherste Lösung).
Eine weitere Besonderheit der DevOps-Methodik ist in gewisser Weise die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und hängen, wie Sie sich wahrscheinlich denken können, weitgehend von den Tools ab.
Die Tools sind großartig, das sind sie wirklich. Sie können den Prozess der Softwarebereitstellung beispiellos beschleunigen, indem sie das Code-Repository, Tests, Wartung und Speicherelemente relativ reibungslos verwalten.
Allerdings sind Roboter zwar in der Lage, uns eines Tages alle Arbeitsplätze wegzunehmen und uns zu versklaven, aber davon sind wir noch weit entfernt. Die starke Abhängigkeit von Tools und Automatisierung lässt Raum für Fehler. Scans und Tests können möglicherweise nicht alles erkennen, der Code wird möglicherweise nicht überprüft, was langfristig zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen) führt. Ein Angreifer braucht nur eine einzige Hintertür, um Daten zu stehlen, und der Verzicht auf den menschlichen Faktor bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
Der „goldene Mittelweg“ besteht darin, ein Gleichgewicht zwischen Menschen und Werkzeugen zu finden. Die Werkzeuge sollten als Hilfsmittel für ein Team dienen, dem Sie vertrauen, um die Projektziele zu erreichen. Sie müssen:
- Planen Sie ausreichend Zeit ein, damit sich die Benutzer mit der ausgewählten DevOps-Toolkette vertraut machen können.
- Konzentrieren Sie sich auf eine effektive Zusammenarbeit (und darauf, wie Tools dazu beitragen können).
- Schließen Sie alle Lücken im Prozess, unabhängig davon, ob diese mit Kompetenzen, Kenntnissen oder Werkzeugen zusammenhängen.
Kurz gesagt: Geben Sie sich nicht damit zufrieden, sich „auszurüsten“ und zu hoffen, dass alles gut geht.
DevOps ist kein Modewort, sondern eine Kultur. Pflegen Sie Ihre eigene Kultur?
La gestion du changement est difficile dans le meilleur des cas. La peur de l'inconnu peut empêcher même les membres les plus brillants de l'équipe de développer leurs compétences et d'élargir leurs horizons.
Vous voyez, le simple fait de dire « Faisons DevOps » et de faire déplacer les bureaux de l'équipe des opérations ne suffira pas à mettre en œuvre un processus réussi comme par magie. Viele werden verwirrt sein und langjährige Teammitglieder werden unzufrieden sein. Die Kommunikation von Erwartungen ist ebenso entscheidend wie das „Vorleben von Handlungen”. DevOps ist ebenso eine kulturelle Bewegung wie eine Entwicklungsmethodik, und ein Team muss eine funktionsübergreifende und kollaborative Denkweise leben und atmen.
Wie sieht eine gute DevOps-Kultur aus?
- Einzelpersonen sind befugt, ihr Fachwissen in einen Prozess einzubringen, und nicht nur Führungskräfte.
- Offene, ehrliche und respektvolle Kommunikation zwischen den Teams
- Jede Person übernimmt Verantwortung für das übergeordnete Ziel, Qualität und Sicherheit in den Entwicklungsprozess zu integrieren.
- Alle sind sich einig, was die Definition von DevOps im Unternehmen, die Roadmap und das Wie, Was und Warum der jeweiligen Rollen angeht.
Seit Jahren betone ich, wie wichtig es ist, eine positive Sicherheitskultur in Entwicklungsteams zu schaffen, und DevOps bildet da keine Ausnahme.
Die richtigen Tools, Kenntnisse und Unterstützung sind unerlässlich, um Best Practices im Bereich Sicherheit anzuwenden, eine Verringerung der entdeckten Schwachstellen zu erzielen und dem Team die Bedeutung des Schutzes unserer Daten zu vermitteln. Mit DevOps müssen Sie die kulturellen Grundlagen für einen positiven Wandel schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen, die allgemeinen Ziele des Projekts und die einzelnen Schritte des Prozesses versteht.
Haben Sie das verstanden? Großartig. Jetzt lassen Sie uns etwas verändern, die Sicherheit verbessern und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.
Dieser Artikel wurde ursprünglich auf DevOps.comveröffentlicht. Er wurde aktualisiert und geändert.
Genau wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist auch der Begriff „DevOps“ ein weiteres Modewort, das derzeit in den IT-Abteilungen großer Unternehmen verwendet wird.
Viele haben (zu Recht) erkannt, dass der Lebenszyklus der Softwareentwicklung beschleunigt werden muss: ein präziserer Prozess, der eng an den Geschäftszielen ausgerichtet ist und einen klareren Arbeitsablauf sowie eine Zusammenarbeit zwischen den für die Entwicklung und den Betrieb zuständigen Teams ermöglicht. DevOps ist im Wesentlichen eine „agile” Entwicklung, die entwickelt wurde, um den Anforderungen moderner Unternehmen nach ständiger Innovation und schneller Bereitstellung gerecht zu werden. Für Sicherheitsexperten ist dies eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess integrieren, wodurch die Kosten für die Behebung von Fehlern gesenkt und potenzielle Katastrophen vermieden werden.
Das Problem ist, dass nur wenige Unternehmen DevOps wirklich erfolgreich umsetzen können. Ohne die entsprechende Unterstützung, Förderung und das nötige Verständnis innerhalb des Unternehmens kann es schnell zu einem weißen Elefanten werden ... Sie wissen schon, eines dieser Projekte, über die man nicht spricht.
Also, wo liegt das Problem? Das ist eine interessante Diskussion, und es gibt mehrere Ansätze für DevOps, die meiner Meinung nach die Umsetzung erleichtern werden. Ein effektives Programm beschränkt sich nicht auf ein paar neue Tools, Titel und ausgefeilte Teambesprechungen. Es wird nicht immer einfach sein, aber sich die Zeit zu nehmen, eine fehlgeschlagene Strategie zu korrigieren (oder sie von Anfang an richtig umzusetzen), wird auf lange Sicht viel weniger mühsam sein. Letztendlich wird dies zu einer besseren und sichereren Software führen.
Décomposons-le :
Lassen Sie die Schnüre der Schürze „Agile“ los.
Es gibt ein Missverständnis, dass eine Organisation sich zwischen Agile und DevOps entscheiden muss, indem sie sich für einen Weg entscheidet und nie wieder zurückkehrt.
Tatsächlich funktioniert der Entwicklungsprozess am besten, wenn beide Ansätze als Einheit betrachtet und umgesetzt werden. DevOps ist keine Neuerfindung der agilen Entwicklung, sondern vielmehr eine Erweiterung davon. Probleme treten häufig dann auf, wenn erwartet wird, dass der Prozess genau wie Agile oder völlig anders als Agile ist.
Agile unterstützt das Prinzip funktionsübergreifender Teams, indem es Designer, Tester und Entwickler von Anfang an zusammenbringt und sich verpflichtet, während des gesamten Projekts offene Kommunikationswege zu gewährleisten. Sein Ziel ist es, die isolierte Lieferung zu beenden und Doppelarbeit zu reduzieren – zwei Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter, indem es Systeme, Sicherheit und Betrieb in den Mix integriert, um ein robustes End-to-End-Kompetenzpaket anzubieten, dessen oberstes Ziel darin besteht, dem Kunden vollständige und funktionsfähige Software zu liefern.
Bei den unvermeidlichen Schwierigkeiten, die mit der Umstellung auf einen stärker auf DevOps ausgerichteten Prozess verbunden sind, kann das Risiko einer isolierten Entwicklung wieder auftreten. Oft arbeitet das ursprüngliche Agile-Team zusammen, während die zusätzlichen Elemente in Bezug auf Sicherheit und Betrieb immer noch ihren Platz in der Maschine finden; niemand weiß wirklich, wie man sie einbeziehen soll, was sie tun sollen und was ihre allgemeinen Ziele sind.
DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifende Integration und direkte Kommunikation mit allen Beteiligten. Es wird natürlich eine Anpassungsphase geben, die ein sorgfältiges Change Management erfordert, aber dank der Verbesserungen durch die DevOps-Funktionen alle auf den gleichen Stand zu bringen, ist schon die halbe Miete.
Zunehmend (Gott sei Dank) legt DevOps auch den Schwerpunkt auf bewährte Sicherheitsverfahren im Rahmen des Prozesses, wodurch dieser Schritt entmystifiziert und die Kluft zwischen dem Sicherheitsteam und schließlich den anderen geschlossen wird. Wie ich bereits gesagt habe, haben wir noch einen langen Weg vor uns, bis Entwickler von Anfang an sicher programmieren können, aber die erfolgreiche Umsetzung von DevOps-Methoden bildet eine hervorragende Grundlage, auf der die Sicherheitskompetenzen innerhalb des Entwicklungsteams gestärkt werden können.
Automatisierung ist nicht alles (und auch nicht die sicherste Lösung).
Eine weitere Besonderheit der DevOps-Methodik ist in gewisser Weise die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und hängen, wie Sie sich wahrscheinlich denken können, weitgehend von den Tools ab.
Die Tools sind großartig, das sind sie wirklich. Sie können den Prozess der Softwarebereitstellung beispiellos beschleunigen, indem sie das Code-Repository, Tests, Wartung und Speicherelemente relativ reibungslos verwalten.
Allerdings sind Roboter zwar in der Lage, uns eines Tages alle Arbeitsplätze wegzunehmen und uns zu versklaven, aber davon sind wir noch weit entfernt. Die starke Abhängigkeit von Tools und Automatisierung lässt Raum für Fehler. Scans und Tests können möglicherweise nicht alles erkennen, der Code wird möglicherweise nicht überprüft, was langfristig zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen) führt. Ein Angreifer braucht nur eine einzige Hintertür, um Daten zu stehlen, und der Verzicht auf den menschlichen Faktor bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
Der „goldene Mittelweg“ besteht darin, ein Gleichgewicht zwischen Menschen und Werkzeugen zu finden. Die Werkzeuge sollten als Hilfsmittel für ein Team dienen, dem Sie vertrauen, um die Projektziele zu erreichen. Sie müssen:
- Planen Sie ausreichend Zeit ein, damit sich die Benutzer mit der ausgewählten DevOps-Toolkette vertraut machen können.
- Konzentrieren Sie sich auf eine effektive Zusammenarbeit (und darauf, wie Tools dazu beitragen können).
- Schließen Sie alle Lücken im Prozess, unabhängig davon, ob diese mit Kompetenzen, Kenntnissen oder Werkzeugen zusammenhängen.
Kurz gesagt: Geben Sie sich nicht damit zufrieden, sich „auszurüsten“ und zu hoffen, dass alles gut geht.
DevOps ist kein Modewort, sondern eine Kultur. Pflegen Sie Ihre eigene Kultur?
La gestion du changement est difficile dans le meilleur des cas. La peur de l'inconnu peut empêcher même les membres les plus brillants de l'équipe de développer leurs compétences et d'élargir leurs horizons.
Vous voyez, le simple fait de dire « Faisons DevOps » et de faire déplacer les bureaux de l'équipe des opérations ne suffira pas à mettre en œuvre un processus réussi comme par magie. Viele werden verwirrt sein und langjährige Teammitglieder werden unzufrieden sein. Die Kommunikation von Erwartungen ist ebenso entscheidend wie das „Vorleben von Handlungen”. DevOps ist ebenso eine kulturelle Bewegung wie eine Entwicklungsmethodik, und ein Team muss eine funktionsübergreifende und kollaborative Denkweise leben und atmen.
Wie sieht eine gute DevOps-Kultur aus?
- Einzelpersonen sind befugt, ihr Fachwissen in einen Prozess einzubringen, und nicht nur Führungskräfte.
- Offene, ehrliche und respektvolle Kommunikation zwischen den Teams
- Jede Person übernimmt Verantwortung für das übergeordnete Ziel, Qualität und Sicherheit in den Entwicklungsprozess zu integrieren.
- Alle sind sich einig, was die Definition von DevOps im Unternehmen, die Roadmap und das Wie, Was und Warum der jeweiligen Rollen angeht.
Seit Jahren betone ich, wie wichtig es ist, eine positive Sicherheitskultur in Entwicklungsteams zu schaffen, und DevOps bildet da keine Ausnahme.
Die richtigen Tools, Kenntnisse und Unterstützung sind unerlässlich, um Best Practices im Bereich Sicherheit anzuwenden, eine Verringerung der entdeckten Schwachstellen zu erzielen und dem Team die Bedeutung des Schutzes unserer Daten zu vermitteln. Mit DevOps müssen Sie die kulturellen Grundlagen für einen positiven Wandel schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen, die allgemeinen Ziele des Projekts und die einzelnen Schritte des Prozesses versteht.
Haben Sie das verstanden? Großartig. Jetzt lassen Sie uns etwas verändern, die Sicherheit verbessern und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Dieser Artikel wurde ursprünglich auf DevOps.comveröffentlicht. Er wurde aktualisiert und geändert.
Genau wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist auch der Begriff „DevOps“ ein weiteres Modewort, das derzeit in den IT-Abteilungen großer Unternehmen verwendet wird.
Viele haben (zu Recht) erkannt, dass der Lebenszyklus der Softwareentwicklung beschleunigt werden muss: ein präziserer Prozess, der eng an den Geschäftszielen ausgerichtet ist und einen klareren Arbeitsablauf sowie eine Zusammenarbeit zwischen den für die Entwicklung und den Betrieb zuständigen Teams ermöglicht. DevOps ist im Wesentlichen eine „agile” Entwicklung, die entwickelt wurde, um den Anforderungen moderner Unternehmen nach ständiger Innovation und schneller Bereitstellung gerecht zu werden. Für Sicherheitsexperten ist dies eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess integrieren, wodurch die Kosten für die Behebung von Fehlern gesenkt und potenzielle Katastrophen vermieden werden.
Das Problem ist, dass nur wenige Unternehmen DevOps wirklich erfolgreich umsetzen können. Ohne die entsprechende Unterstützung, Förderung und das nötige Verständnis innerhalb des Unternehmens kann es schnell zu einem weißen Elefanten werden ... Sie wissen schon, eines dieser Projekte, über die man nicht spricht.
Also, wo liegt das Problem? Das ist eine interessante Diskussion, und es gibt mehrere Ansätze für DevOps, die meiner Meinung nach die Umsetzung erleichtern werden. Ein effektives Programm beschränkt sich nicht auf ein paar neue Tools, Titel und ausgefeilte Teambesprechungen. Es wird nicht immer einfach sein, aber sich die Zeit zu nehmen, eine fehlgeschlagene Strategie zu korrigieren (oder sie von Anfang an richtig umzusetzen), wird auf lange Sicht viel weniger mühsam sein. Letztendlich wird dies zu einer besseren und sichereren Software führen.
Décomposons-le :
Lassen Sie die Schnüre der Schürze „Agile“ los.
Es gibt ein Missverständnis, dass eine Organisation sich zwischen Agile und DevOps entscheiden muss, indem sie sich für einen Weg entscheidet und nie wieder zurückkehrt.
Tatsächlich funktioniert der Entwicklungsprozess am besten, wenn beide Ansätze als Einheit betrachtet und umgesetzt werden. DevOps ist keine Neuerfindung der agilen Entwicklung, sondern vielmehr eine Erweiterung davon. Probleme treten häufig dann auf, wenn erwartet wird, dass der Prozess genau wie Agile oder völlig anders als Agile ist.
Agile unterstützt das Prinzip funktionsübergreifender Teams, indem es Designer, Tester und Entwickler von Anfang an zusammenbringt und sich verpflichtet, während des gesamten Projekts offene Kommunikationswege zu gewährleisten. Sein Ziel ist es, die isolierte Lieferung zu beenden und Doppelarbeit zu reduzieren – zwei Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter, indem es Systeme, Sicherheit und Betrieb in den Mix integriert, um ein robustes End-to-End-Kompetenzpaket anzubieten, dessen oberstes Ziel darin besteht, dem Kunden vollständige und funktionsfähige Software zu liefern.
Bei den unvermeidlichen Schwierigkeiten, die mit der Umstellung auf einen stärker auf DevOps ausgerichteten Prozess verbunden sind, kann das Risiko einer isolierten Entwicklung wieder auftreten. Oft arbeitet das ursprüngliche Agile-Team zusammen, während die zusätzlichen Elemente in Bezug auf Sicherheit und Betrieb immer noch ihren Platz in der Maschine finden; niemand weiß wirklich, wie man sie einbeziehen soll, was sie tun sollen und was ihre allgemeinen Ziele sind.
DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifende Integration und direkte Kommunikation mit allen Beteiligten. Es wird natürlich eine Anpassungsphase geben, die ein sorgfältiges Change Management erfordert, aber dank der Verbesserungen durch die DevOps-Funktionen alle auf den gleichen Stand zu bringen, ist schon die halbe Miete.
Zunehmend (Gott sei Dank) legt DevOps auch den Schwerpunkt auf bewährte Sicherheitsverfahren im Rahmen des Prozesses, wodurch dieser Schritt entmystifiziert und die Kluft zwischen dem Sicherheitsteam und schließlich den anderen geschlossen wird. Wie ich bereits gesagt habe, haben wir noch einen langen Weg vor uns, bis Entwickler von Anfang an sicher programmieren können, aber die erfolgreiche Umsetzung von DevOps-Methoden bildet eine hervorragende Grundlage, auf der die Sicherheitskompetenzen innerhalb des Entwicklungsteams gestärkt werden können.
Automatisierung ist nicht alles (und auch nicht die sicherste Lösung).
Eine weitere Besonderheit der DevOps-Methodik ist in gewisser Weise die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und hängen, wie Sie sich wahrscheinlich denken können, weitgehend von den Tools ab.
Die Tools sind großartig, das sind sie wirklich. Sie können den Prozess der Softwarebereitstellung beispiellos beschleunigen, indem sie das Code-Repository, Tests, Wartung und Speicherelemente relativ reibungslos verwalten.
Allerdings sind Roboter zwar in der Lage, uns eines Tages alle Arbeitsplätze wegzunehmen und uns zu versklaven, aber davon sind wir noch weit entfernt. Die starke Abhängigkeit von Tools und Automatisierung lässt Raum für Fehler. Scans und Tests können möglicherweise nicht alles erkennen, der Code wird möglicherweise nicht überprüft, was langfristig zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen) führt. Ein Angreifer braucht nur eine einzige Hintertür, um Daten zu stehlen, und der Verzicht auf den menschlichen Faktor bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
Der „goldene Mittelweg“ besteht darin, ein Gleichgewicht zwischen Menschen und Werkzeugen zu finden. Die Werkzeuge sollten als Hilfsmittel für ein Team dienen, dem Sie vertrauen, um die Projektziele zu erreichen. Sie müssen:
- Planen Sie ausreichend Zeit ein, damit sich die Benutzer mit der ausgewählten DevOps-Toolkette vertraut machen können.
- Konzentrieren Sie sich auf eine effektive Zusammenarbeit (und darauf, wie Tools dazu beitragen können).
- Schließen Sie alle Lücken im Prozess, unabhängig davon, ob diese mit Kompetenzen, Kenntnissen oder Werkzeugen zusammenhängen.
Kurz gesagt: Geben Sie sich nicht damit zufrieden, sich „auszurüsten“ und zu hoffen, dass alles gut geht.
DevOps ist kein Modewort, sondern eine Kultur. Pflegen Sie Ihre eigene Kultur?
La gestion du changement est difficile dans le meilleur des cas. La peur de l'inconnu peut empêcher même les membres les plus brillants de l'équipe de développer leurs compétences et d'élargir leurs horizons.
Vous voyez, le simple fait de dire « Faisons DevOps » et de faire déplacer les bureaux de l'équipe des opérations ne suffira pas à mettre en œuvre un processus réussi comme par magie. Viele werden verwirrt sein und langjährige Teammitglieder werden unzufrieden sein. Die Kommunikation von Erwartungen ist ebenso entscheidend wie das „Vorleben von Handlungen”. DevOps ist ebenso eine kulturelle Bewegung wie eine Entwicklungsmethodik, und ein Team muss eine funktionsübergreifende und kollaborative Denkweise leben und atmen.
Wie sieht eine gute DevOps-Kultur aus?
- Einzelpersonen sind befugt, ihr Fachwissen in einen Prozess einzubringen, und nicht nur Führungskräfte.
- Offene, ehrliche und respektvolle Kommunikation zwischen den Teams
- Jede Person übernimmt Verantwortung für das übergeordnete Ziel, Qualität und Sicherheit in den Entwicklungsprozess zu integrieren.
- Alle sind sich einig, was die Definition von DevOps im Unternehmen, die Roadmap und das Wie, Was und Warum der jeweiligen Rollen angeht.
Seit Jahren betone ich, wie wichtig es ist, eine positive Sicherheitskultur in Entwicklungsteams zu schaffen, und DevOps bildet da keine Ausnahme.
Die richtigen Tools, Kenntnisse und Unterstützung sind unerlässlich, um Best Practices im Bereich Sicherheit anzuwenden, eine Verringerung der entdeckten Schwachstellen zu erzielen und dem Team die Bedeutung des Schutzes unserer Daten zu vermitteln. Mit DevOps müssen Sie die kulturellen Grundlagen für einen positiven Wandel schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen, die allgemeinen Ziele des Projekts und die einzelnen Schritte des Prozesses versteht.
Haben Sie das verstanden? Großartig. Jetzt lassen Sie uns etwas verändern, die Sicherheit verbessern und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
