Warum DevOps-Implementierungen oft scheitern (und wie man das beheben kann)
Dieser Artikel wurde ursprünglich veröffentlicht auf Devops.com. Es wurde aktualisiert und überarbeitet.
Wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist auch der Begriff „DevOps“ ein weiteres Schlagwort, das derzeit in den IT-Abteilungen großer Unternehmen populär ist.
Viele haben (zu Recht) erkannt, dass ein schnellerer Softwareentwicklungszyklus erforderlich ist – ein präziserer Prozess, der eng mit den Geschäftszielen verknüpft ist und so für klarere Arbeitsabläufe und eine bessere Zusammenarbeit zwischen Entwicklungs- und Betriebsteams sorgt. DevOps ist im Wesentlichen eine „agile“ Entwicklung, bei der alle Entwickler dazu erzogen werden, jederzeit auf die Anforderungen moderner Unternehmen hinsichtlich kontinuierlicher Innovation und schneller Bereitstellung reagieren zu können. Für Sicherheitsexperten ist dies eine großartige Initiative: Wir können Sicherheit früher in den Prozess einfließen lassen, wodurch die Kosten für die Behebung von Fehlern gesenkt und potenzielle Katastrophen vermieden werden können.
Das Problem ist, dass nur wenige Unternehmen DevOps wirklich erfolgreich implementieren können. Ohne angemessene Unterstützung, Förderung und Verständnis seitens des gesamten Unternehmens wird es schnell zu einem weißen Elefanten... Sie wissen schon, eines dieser Projekte, über die man nicht sprechen darf.
Was ist also das Problem? Das ist eine interessante Diskussion, und ich glaube, dass es mehrere Wege gibt, DevOps zu implementieren, die den Weg ebnen können. Eine effektive Planung besteht nicht nur aus schicken neuen Tools, Titeln und Teambesprechungen. Das ist nicht immer einfach, aber langfristig gesehen ist es viel weniger schmerzhaft, sich die Zeit zu nehmen, eine fehlgeschlagene Strategie zu korrigieren (oder sie von Anfang an richtig umzusetzen). Letztendlich führt dies zu qualitativ hochwertigerer und sichererer Software.
Lassen Sie uns das einmal analysieren:
Lassen Sie die Schürzenbänder von „Agilität“ los.
Es gibt ein Missverständnis, dass Organisationen sich zwischen Agilität und DevOps entscheiden müssen, einen Weg einschlagen und niemals zurückblicken dürfen.
Das Problem ist, dass der Entwicklungsprozess am besten funktioniert, wenn beide als Ganzes betrachtet und umgesetzt werden. DevOps ist keine Neugestaltung der agilen Entwicklung, sondern vielmehr eine Erweiterung davon. Wenn man erwartet, dass sich dieser Prozess verändert, kommt es oft zu Problemen, die entweder vollständig mit Agilität oder völlig anders als Agilität zu tun haben.
Agile unterstützt das Prinzip funktionsübergreifender Teams, indem es Designer, Tester und Entwickler von Anfang an zusammenbringt und eine offene Kommunikation während des gesamten Projekts gewährleistet. Das Ziel besteht darin, isolierte Lieferungen zu vermeiden und Doppelarbeit zu reduzieren – beides Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter und integriert Systeme, Sicherheit und Betrieb, um eine starke End-to-End-Kompetenz zu bieten, deren letztendliches Ziel darin besteht, dem Kunden voll funktionsfähige Software zu liefern.
Bei der unvermeidlichen Umstellung auf einen stärker DevOps-orientierten Prozess kann das Risiko isolierter Entwicklung erneut auftreten. In der Regel können Sie das ursprüngliche agile Team zusammenarbeiten lassen, während die neu hinzugekommenen Sicherheits- und Betriebspersonalmitglieder noch ihren Weg im System finden müssen. Niemand kann mit Sicherheit sagen, wie sie einbezogen werden sollen, was sie tun sollen und was ihre übergeordneten Ziele sind.
Ohne klare Ziele, funktionsübergreifende Einarbeitung und direkte Kommunikation mit allen Beteiligten kann DevOps nicht funktionieren. Natürlich wird es eine Anpassungsphase geben, die ein sorgfältiges Änderungsmanagement erfordert, aber wenn alle Beteiligten sich über die Vorteile der DevOps-Funktionen einig sind, ist die Hälfte des Erfolgs bereits erreicht.
(Gott sei Dank) legt DevOps auch zunehmend Wert auf bewährte Sicherheitsverfahren und integriert diese als Teil des Prozesses, wodurch dieser Schritt entmystifiziert und die Kluft zwischen dem Sicherheitsteam und allen anderen geschlossen wird. Wie ich bereits erwähnt habe, haben wir noch einen langen Weg vor uns, bis Entwickler von Anfang an in die Lage versetzt werden, sicher zu programmieren, aber die erfolgreiche Umsetzung des DevOps-Ansatzes ist eine hervorragende Grundlage für die Förderung von Sicherheitskompetenzen innerhalb des Entwicklungsteams.
Automatisierung ist nicht alles (und auch nicht das Sicherste).
In gewisser Weise ist ein weiteres Merkmal des DevOps-Ansatzes die Automatisierung des Softwareentwicklungsprozesses. Das Prinzip der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) ist der Grundstein dieses Konzepts und, wie Sie sich vielleicht denken können, stark von Tools abhängig.
Tools sind großartig, das ist wahr. Sie können eine beispiellose Geschwindigkeit in den Softwarebereitstellungsprozess bringen und Code-Repositorys, Tests, Wartung und Speicherelemente relativ nahtlos verwalten.
Aber auch wenn Roboter uns eines Tages vielleicht alle unsere Arbeitsplätze wegnehmen und uns einsperren werden, so ist dies derzeit noch nicht der Fall. Die starke Abhängigkeit von Tools und Automatisierung öffnet Fehler Tür und Tor. Scans und Tests können möglicherweise nicht alles erkennen, und Code wird möglicherweise nicht überprüft, was zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen) führen kann. Angreifer benötigen lediglich eine Hintertür, um Daten zu stehlen, und der Verzicht auf den menschlichen Faktor bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
„平衡点” ist ein Instrument , das das Gleichgewicht zwischen Menschen sicherstellt. Das Instrument sollte als Assistent Ihres vertrauenswürdigen Teams dienen, um die Projektziele zu erreichen. Sie sollten:
- Geben Sie den Mitarbeitern ausreichend Zeit, sich mit der ausgewählten DevOps-Toolkette vertraut zu machen.
- Fokus auf effektive Zusammenarbeit (und wie Tools diese Zusammenarbeit unterstützen)
- Füllen Sie alle Lücken im Prozess, unabhängig davon, ob es sich um Fähigkeiten/Kenntnisse oder um werkzeugbasierte Lücken handelt.
Kurz gesagt: Man sollte nicht einfach „sich zusammenreißen“ und auf das beste Ergebnis hoffen.
DevOps ist kein Modewort, sondern eine Kultur. Wachsen Sie mit?
Selbst in den besten Zeiten ist das Änderungsmanagement schwierig. Die Angst vor dem Unbekannten kann selbst die besten Teammitglieder davon abhalten, ihre Fähigkeiten zu verbessern und ihren Horizont zu erweitern.
Sehen Sie, es reicht nicht aus, einfach zu sagen „Lasst uns DevOps einführen” und das Betriebsteam dazu zu bringen, seine Schreibtische umzustellen, um auf magische Weise einen erfolgreichen Prozess zu realisieren. Viele werden verwirrt sein, und langjährige Teammitglieder werden unzufrieden sein. Die erwartete Kommunikation ist von entscheidender Bedeutung, ebenso wie „den Weg gehen”. DevOps ist sowohl eine Entwicklungsmethode als auch eine kulturelle Bewegung, die Teams mit funktionsübergreifendem, kollaborativem Denken leben und atmen sollten.
Wie sieht eine hervorragende DevOps-Kultur aus?
- Einzelpersonen haben das Recht, Fachwissen in den Prozess einzubringen, und nicht nur Führungskräfte.
- Offene, ehrliche und respektvolle Kommunikation zwischen den Teams
- Jeder ist für das übergeordnete Ziel verantwortlich, Qualität und Sicherheit in den Entwicklungsprozess zu integrieren.
- Alle sind sich einig über die Definition von DevOps im Unternehmen, den Fahrplan und die Rollen, Aufgaben und Gründe jedes Einzelnen.
Seit vielen Jahren betone ich die Bedeutung einer positiven Sicherheitskultur in Entwicklungsteams, und DevOps bildet da keine Ausnahme.
Die richtigen Tools, Kenntnisse und Unterstützung sind entscheidend, um Best Practices für die Sicherheit umzusetzen, die Anzahl der entdeckten Schwachstellen zu reduzieren und dem Team die Bedeutung des Datenschutzes bewusst zu machen. Mit DevOps müssen Sie die kulturellen Grundlagen für positive Veränderungen schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen, die allgemeinen Projektziele und die Prozessschritte versteht.
Haben Sie das verstanden? Großartig. Lassen Sie uns nun unseren Fokus verlagern, die Sicherheit verbessern und DevSecOps zum ultimativen Plan für die Entwicklung herausragender Software machen.
Nur wenige Unternehmen können DevOps wirklich erfolgreich implementieren. Die richtige Unterstützung, Förderung und das Verständnis im gesamten Unternehmen können jedoch Ihre Prozesse verändern.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Dieser Artikel wurde ursprünglich veröffentlicht auf Devops.com. Es wurde aktualisiert und überarbeitet.
Wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist auch der Begriff „DevOps“ ein weiteres Schlagwort, das derzeit in den IT-Abteilungen großer Unternehmen populär ist.
Viele haben (zu Recht) erkannt, dass ein schnellerer Softwareentwicklungszyklus erforderlich ist – ein präziserer Prozess, der eng mit den Geschäftszielen verknüpft ist und so für klarere Arbeitsabläufe und eine bessere Zusammenarbeit zwischen Entwicklungs- und Betriebsteams sorgt. DevOps ist im Wesentlichen eine „agile“ Entwicklung, bei der alle Entwickler dazu erzogen werden, jederzeit auf die Anforderungen moderner Unternehmen hinsichtlich kontinuierlicher Innovation und schneller Bereitstellung reagieren zu können. Für Sicherheitsexperten ist dies eine großartige Initiative: Wir können Sicherheit früher in den Prozess einfließen lassen, wodurch die Kosten für die Behebung von Fehlern gesenkt und potenzielle Katastrophen vermieden werden können.
Das Problem ist, dass nur wenige Unternehmen DevOps wirklich erfolgreich implementieren können. Ohne angemessene Unterstützung, Förderung und Verständnis seitens des gesamten Unternehmens wird es schnell zu einem weißen Elefanten... Sie wissen schon, eines dieser Projekte, über die man nicht sprechen darf.
Was ist also das Problem? Das ist eine interessante Diskussion, und ich glaube, dass es mehrere Wege gibt, DevOps zu implementieren, die den Weg ebnen können. Eine effektive Planung besteht nicht nur aus schicken neuen Tools, Titeln und Teambesprechungen. Das ist nicht immer einfach, aber langfristig gesehen ist es viel weniger schmerzhaft, sich die Zeit zu nehmen, eine fehlgeschlagene Strategie zu korrigieren (oder sie von Anfang an richtig umzusetzen). Letztendlich führt dies zu qualitativ hochwertigerer und sichererer Software.
Lassen Sie uns das einmal analysieren:
Lassen Sie die Schürzenbänder von „Agilität“ los.
Es gibt ein Missverständnis, dass Organisationen sich zwischen Agilität und DevOps entscheiden müssen, einen Weg einschlagen und niemals zurückblicken dürfen.
Das Problem ist, dass der Entwicklungsprozess am besten funktioniert, wenn beide als Ganzes betrachtet und umgesetzt werden. DevOps ist keine Neugestaltung der agilen Entwicklung, sondern vielmehr eine Erweiterung davon. Wenn man erwartet, dass sich dieser Prozess verändert, kommt es oft zu Problemen, die entweder vollständig mit Agilität oder völlig anders als Agilität zu tun haben.
Agile unterstützt das Prinzip funktionsübergreifender Teams, indem es Designer, Tester und Entwickler von Anfang an zusammenbringt und eine offene Kommunikation während des gesamten Projekts gewährleistet. Das Ziel besteht darin, isolierte Lieferungen zu vermeiden und Doppelarbeit zu reduzieren – beides Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter und integriert Systeme, Sicherheit und Betrieb, um eine starke End-to-End-Kompetenz zu bieten, deren letztendliches Ziel darin besteht, dem Kunden voll funktionsfähige Software zu liefern.
Bei der unvermeidlichen Umstellung auf einen stärker DevOps-orientierten Prozess kann das Risiko isolierter Entwicklung erneut auftreten. In der Regel können Sie das ursprüngliche agile Team zusammenarbeiten lassen, während die neu hinzugekommenen Sicherheits- und Betriebspersonalmitglieder noch ihren Weg im System finden müssen. Niemand kann mit Sicherheit sagen, wie sie einbezogen werden sollen, was sie tun sollen und was ihre übergeordneten Ziele sind.
Ohne klare Ziele, funktionsübergreifende Einarbeitung und direkte Kommunikation mit allen Beteiligten kann DevOps nicht funktionieren. Natürlich wird es eine Anpassungsphase geben, die ein sorgfältiges Änderungsmanagement erfordert, aber wenn alle Beteiligten sich über die Vorteile der DevOps-Funktionen einig sind, ist die Hälfte des Erfolgs bereits erreicht.
(Gott sei Dank) legt DevOps auch zunehmend Wert auf bewährte Sicherheitsverfahren und integriert diese als Teil des Prozesses, wodurch dieser Schritt entmystifiziert und die Kluft zwischen dem Sicherheitsteam und allen anderen geschlossen wird. Wie ich bereits erwähnt habe, haben wir noch einen langen Weg vor uns, bis Entwickler von Anfang an in die Lage versetzt werden, sicher zu programmieren, aber die erfolgreiche Umsetzung des DevOps-Ansatzes ist eine hervorragende Grundlage für die Förderung von Sicherheitskompetenzen innerhalb des Entwicklungsteams.
Automatisierung ist nicht alles (und auch nicht das Sicherste).
In gewisser Weise ist ein weiteres Merkmal des DevOps-Ansatzes die Automatisierung des Softwareentwicklungsprozesses. Das Prinzip der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) ist der Grundstein dieses Konzepts und, wie Sie sich vielleicht denken können, stark von Tools abhängig.
Tools sind großartig, das ist wahr. Sie können eine beispiellose Geschwindigkeit in den Softwarebereitstellungsprozess bringen und Code-Repositorys, Tests, Wartung und Speicherelemente relativ nahtlos verwalten.
Aber auch wenn Roboter uns eines Tages vielleicht alle unsere Arbeitsplätze wegnehmen und uns einsperren werden, so ist dies derzeit noch nicht der Fall. Die starke Abhängigkeit von Tools und Automatisierung öffnet Fehler Tür und Tor. Scans und Tests können möglicherweise nicht alles erkennen, und Code wird möglicherweise nicht überprüft, was zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen) führen kann. Angreifer benötigen lediglich eine Hintertür, um Daten zu stehlen, und der Verzicht auf den menschlichen Faktor bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
„平衡点” ist ein Instrument , das das Gleichgewicht zwischen Menschen sicherstellt. Das Instrument sollte als Assistent Ihres vertrauenswürdigen Teams dienen, um die Projektziele zu erreichen. Sie sollten:
- Geben Sie den Mitarbeitern ausreichend Zeit, sich mit der ausgewählten DevOps-Toolkette vertraut zu machen.
- Fokus auf effektive Zusammenarbeit (und wie Tools diese Zusammenarbeit unterstützen)
- Füllen Sie alle Lücken im Prozess, unabhängig davon, ob es sich um Fähigkeiten/Kenntnisse oder um werkzeugbasierte Lücken handelt.
Kurz gesagt: Man sollte nicht einfach „sich zusammenreißen“ und auf das beste Ergebnis hoffen.
DevOps ist kein Modewort, sondern eine Kultur. Wachsen Sie mit?
Selbst in den besten Zeiten ist das Änderungsmanagement schwierig. Die Angst vor dem Unbekannten kann selbst die besten Teammitglieder davon abhalten, ihre Fähigkeiten zu verbessern und ihren Horizont zu erweitern.
Sehen Sie, es reicht nicht aus, einfach zu sagen „Lasst uns DevOps einführen” und das Betriebsteam dazu zu bringen, seine Schreibtische umzustellen, um auf magische Weise einen erfolgreichen Prozess zu realisieren. Viele werden verwirrt sein, und langjährige Teammitglieder werden unzufrieden sein. Die erwartete Kommunikation ist von entscheidender Bedeutung, ebenso wie „den Weg gehen”. DevOps ist sowohl eine Entwicklungsmethode als auch eine kulturelle Bewegung, die Teams mit funktionsübergreifendem, kollaborativem Denken leben und atmen sollten.
Wie sieht eine hervorragende DevOps-Kultur aus?
- Einzelpersonen haben das Recht, Fachwissen in den Prozess einzubringen, und nicht nur Führungskräfte.
- Offene, ehrliche und respektvolle Kommunikation zwischen den Teams
- Jeder ist für das übergeordnete Ziel verantwortlich, Qualität und Sicherheit in den Entwicklungsprozess zu integrieren.
- Alle sind sich einig über die Definition von DevOps im Unternehmen, den Fahrplan und die Rollen, Aufgaben und Gründe jedes Einzelnen.
Seit vielen Jahren betone ich die Bedeutung einer positiven Sicherheitskultur in Entwicklungsteams, und DevOps bildet da keine Ausnahme.
Die richtigen Tools, Kenntnisse und Unterstützung sind entscheidend, um Best Practices für die Sicherheit umzusetzen, die Anzahl der entdeckten Schwachstellen zu reduzieren und dem Team die Bedeutung des Datenschutzes bewusst zu machen. Mit DevOps müssen Sie die kulturellen Grundlagen für positive Veränderungen schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen, die allgemeinen Projektziele und die Prozessschritte versteht.
Haben Sie das verstanden? Großartig. Lassen Sie uns nun unseren Fokus verlagern, die Sicherheit verbessern und DevSecOps zum ultimativen Plan für die Entwicklung herausragender Software machen.
Dieser Artikel wurde ursprünglich veröffentlicht auf Devops.com. Es wurde aktualisiert und überarbeitet.
Wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist auch der Begriff „DevOps“ ein weiteres Schlagwort, das derzeit in den IT-Abteilungen großer Unternehmen populär ist.
Viele haben (zu Recht) erkannt, dass ein schnellerer Softwareentwicklungszyklus erforderlich ist – ein präziserer Prozess, der eng mit den Geschäftszielen verknüpft ist und so für klarere Arbeitsabläufe und eine bessere Zusammenarbeit zwischen Entwicklungs- und Betriebsteams sorgt. DevOps ist im Wesentlichen eine „agile“ Entwicklung, bei der alle Entwickler dazu erzogen werden, jederzeit auf die Anforderungen moderner Unternehmen hinsichtlich kontinuierlicher Innovation und schneller Bereitstellung reagieren zu können. Für Sicherheitsexperten ist dies eine großartige Initiative: Wir können Sicherheit früher in den Prozess einfließen lassen, wodurch die Kosten für die Behebung von Fehlern gesenkt und potenzielle Katastrophen vermieden werden können.
Das Problem ist, dass nur wenige Unternehmen DevOps wirklich erfolgreich implementieren können. Ohne angemessene Unterstützung, Förderung und Verständnis seitens des gesamten Unternehmens wird es schnell zu einem weißen Elefanten... Sie wissen schon, eines dieser Projekte, über die man nicht sprechen darf.
Was ist also das Problem? Das ist eine interessante Diskussion, und ich glaube, dass es mehrere Wege gibt, DevOps zu implementieren, die den Weg ebnen können. Eine effektive Planung besteht nicht nur aus schicken neuen Tools, Titeln und Teambesprechungen. Das ist nicht immer einfach, aber langfristig gesehen ist es viel weniger schmerzhaft, sich die Zeit zu nehmen, eine fehlgeschlagene Strategie zu korrigieren (oder sie von Anfang an richtig umzusetzen). Letztendlich führt dies zu qualitativ hochwertigerer und sichererer Software.
Lassen Sie uns das einmal analysieren:
Lassen Sie die Schürzenbänder von „Agilität“ los.
Es gibt ein Missverständnis, dass Organisationen sich zwischen Agilität und DevOps entscheiden müssen, einen Weg einschlagen und niemals zurückblicken dürfen.
Das Problem ist, dass der Entwicklungsprozess am besten funktioniert, wenn beide als Ganzes betrachtet und umgesetzt werden. DevOps ist keine Neugestaltung der agilen Entwicklung, sondern vielmehr eine Erweiterung davon. Wenn man erwartet, dass sich dieser Prozess verändert, kommt es oft zu Problemen, die entweder vollständig mit Agilität oder völlig anders als Agilität zu tun haben.
Agile unterstützt das Prinzip funktionsübergreifender Teams, indem es Designer, Tester und Entwickler von Anfang an zusammenbringt und eine offene Kommunikation während des gesamten Projekts gewährleistet. Das Ziel besteht darin, isolierte Lieferungen zu vermeiden und Doppelarbeit zu reduzieren – beides Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter und integriert Systeme, Sicherheit und Betrieb, um eine starke End-to-End-Kompetenz zu bieten, deren letztendliches Ziel darin besteht, dem Kunden voll funktionsfähige Software zu liefern.
Bei der unvermeidlichen Umstellung auf einen stärker DevOps-orientierten Prozess kann das Risiko isolierter Entwicklung erneut auftreten. In der Regel können Sie das ursprüngliche agile Team zusammenarbeiten lassen, während die neu hinzugekommenen Sicherheits- und Betriebspersonalmitglieder noch ihren Weg im System finden müssen. Niemand kann mit Sicherheit sagen, wie sie einbezogen werden sollen, was sie tun sollen und was ihre übergeordneten Ziele sind.
Ohne klare Ziele, funktionsübergreifende Einarbeitung und direkte Kommunikation mit allen Beteiligten kann DevOps nicht funktionieren. Natürlich wird es eine Anpassungsphase geben, die ein sorgfältiges Änderungsmanagement erfordert, aber wenn alle Beteiligten sich über die Vorteile der DevOps-Funktionen einig sind, ist die Hälfte des Erfolgs bereits erreicht.
(Gott sei Dank) legt DevOps auch zunehmend Wert auf bewährte Sicherheitsverfahren und integriert diese als Teil des Prozesses, wodurch dieser Schritt entmystifiziert und die Kluft zwischen dem Sicherheitsteam und allen anderen geschlossen wird. Wie ich bereits erwähnt habe, haben wir noch einen langen Weg vor uns, bis Entwickler von Anfang an in die Lage versetzt werden, sicher zu programmieren, aber die erfolgreiche Umsetzung des DevOps-Ansatzes ist eine hervorragende Grundlage für die Förderung von Sicherheitskompetenzen innerhalb des Entwicklungsteams.
Automatisierung ist nicht alles (und auch nicht das Sicherste).
In gewisser Weise ist ein weiteres Merkmal des DevOps-Ansatzes die Automatisierung des Softwareentwicklungsprozesses. Das Prinzip der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) ist der Grundstein dieses Konzepts und, wie Sie sich vielleicht denken können, stark von Tools abhängig.
Tools sind großartig, das ist wahr. Sie können eine beispiellose Geschwindigkeit in den Softwarebereitstellungsprozess bringen und Code-Repositorys, Tests, Wartung und Speicherelemente relativ nahtlos verwalten.
Aber auch wenn Roboter uns eines Tages vielleicht alle unsere Arbeitsplätze wegnehmen und uns einsperren werden, so ist dies derzeit noch nicht der Fall. Die starke Abhängigkeit von Tools und Automatisierung öffnet Fehler Tür und Tor. Scans und Tests können möglicherweise nicht alles erkennen, und Code wird möglicherweise nicht überprüft, was zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen) führen kann. Angreifer benötigen lediglich eine Hintertür, um Daten zu stehlen, und der Verzicht auf den menschlichen Faktor bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
„平衡点” ist ein Instrument , das das Gleichgewicht zwischen Menschen sicherstellt. Das Instrument sollte als Assistent Ihres vertrauenswürdigen Teams dienen, um die Projektziele zu erreichen. Sie sollten:
- Geben Sie den Mitarbeitern ausreichend Zeit, sich mit der ausgewählten DevOps-Toolkette vertraut zu machen.
- Fokus auf effektive Zusammenarbeit (und wie Tools diese Zusammenarbeit unterstützen)
- Füllen Sie alle Lücken im Prozess, unabhängig davon, ob es sich um Fähigkeiten/Kenntnisse oder um werkzeugbasierte Lücken handelt.
Kurz gesagt: Man sollte nicht einfach „sich zusammenreißen“ und auf das beste Ergebnis hoffen.
DevOps ist kein Modewort, sondern eine Kultur. Wachsen Sie mit?
Selbst in den besten Zeiten ist das Änderungsmanagement schwierig. Die Angst vor dem Unbekannten kann selbst die besten Teammitglieder davon abhalten, ihre Fähigkeiten zu verbessern und ihren Horizont zu erweitern.
Sehen Sie, es reicht nicht aus, einfach zu sagen „Lasst uns DevOps einführen” und das Betriebsteam dazu zu bringen, seine Schreibtische umzustellen, um auf magische Weise einen erfolgreichen Prozess zu realisieren. Viele werden verwirrt sein, und langjährige Teammitglieder werden unzufrieden sein. Die erwartete Kommunikation ist von entscheidender Bedeutung, ebenso wie „den Weg gehen”. DevOps ist sowohl eine Entwicklungsmethode als auch eine kulturelle Bewegung, die Teams mit funktionsübergreifendem, kollaborativem Denken leben und atmen sollten.
Wie sieht eine hervorragende DevOps-Kultur aus?
- Einzelpersonen haben das Recht, Fachwissen in den Prozess einzubringen, und nicht nur Führungskräfte.
- Offene, ehrliche und respektvolle Kommunikation zwischen den Teams
- Jeder ist für das übergeordnete Ziel verantwortlich, Qualität und Sicherheit in den Entwicklungsprozess zu integrieren.
- Alle sind sich einig über die Definition von DevOps im Unternehmen, den Fahrplan und die Rollen, Aufgaben und Gründe jedes Einzelnen.
Seit vielen Jahren betone ich die Bedeutung einer positiven Sicherheitskultur in Entwicklungsteams, und DevOps bildet da keine Ausnahme.
Die richtigen Tools, Kenntnisse und Unterstützung sind entscheidend, um Best Practices für die Sicherheit umzusetzen, die Anzahl der entdeckten Schwachstellen zu reduzieren und dem Team die Bedeutung des Datenschutzes bewusst zu machen. Mit DevOps müssen Sie die kulturellen Grundlagen für positive Veränderungen schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen, die allgemeinen Projektziele und die Prozessschritte versteht.
Haben Sie das verstanden? Großartig. Lassen Sie uns nun unseren Fokus verlagern, die Sicherheit verbessern und DevSecOps zum ultimativen Plan für die Entwicklung herausragender Software machen.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Dieser Artikel wurde ursprünglich veröffentlicht auf Devops.com. Es wurde aktualisiert und überarbeitet.
Wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist auch der Begriff „DevOps“ ein weiteres Schlagwort, das derzeit in den IT-Abteilungen großer Unternehmen populär ist.
Viele haben (zu Recht) erkannt, dass ein schnellerer Softwareentwicklungszyklus erforderlich ist – ein präziserer Prozess, der eng mit den Geschäftszielen verknüpft ist und so für klarere Arbeitsabläufe und eine bessere Zusammenarbeit zwischen Entwicklungs- und Betriebsteams sorgt. DevOps ist im Wesentlichen eine „agile“ Entwicklung, bei der alle Entwickler dazu erzogen werden, jederzeit auf die Anforderungen moderner Unternehmen hinsichtlich kontinuierlicher Innovation und schneller Bereitstellung reagieren zu können. Für Sicherheitsexperten ist dies eine großartige Initiative: Wir können Sicherheit früher in den Prozess einfließen lassen, wodurch die Kosten für die Behebung von Fehlern gesenkt und potenzielle Katastrophen vermieden werden können.
Das Problem ist, dass nur wenige Unternehmen DevOps wirklich erfolgreich implementieren können. Ohne angemessene Unterstützung, Förderung und Verständnis seitens des gesamten Unternehmens wird es schnell zu einem weißen Elefanten... Sie wissen schon, eines dieser Projekte, über die man nicht sprechen darf.
Was ist also das Problem? Das ist eine interessante Diskussion, und ich glaube, dass es mehrere Wege gibt, DevOps zu implementieren, die den Weg ebnen können. Eine effektive Planung besteht nicht nur aus schicken neuen Tools, Titeln und Teambesprechungen. Das ist nicht immer einfach, aber langfristig gesehen ist es viel weniger schmerzhaft, sich die Zeit zu nehmen, eine fehlgeschlagene Strategie zu korrigieren (oder sie von Anfang an richtig umzusetzen). Letztendlich führt dies zu qualitativ hochwertigerer und sichererer Software.
Lassen Sie uns das einmal analysieren:
Lassen Sie die Schürzenbänder von „Agilität“ los.
Es gibt ein Missverständnis, dass Organisationen sich zwischen Agilität und DevOps entscheiden müssen, einen Weg einschlagen und niemals zurückblicken dürfen.
Das Problem ist, dass der Entwicklungsprozess am besten funktioniert, wenn beide als Ganzes betrachtet und umgesetzt werden. DevOps ist keine Neugestaltung der agilen Entwicklung, sondern vielmehr eine Erweiterung davon. Wenn man erwartet, dass sich dieser Prozess verändert, kommt es oft zu Problemen, die entweder vollständig mit Agilität oder völlig anders als Agilität zu tun haben.
Agile unterstützt das Prinzip funktionsübergreifender Teams, indem es Designer, Tester und Entwickler von Anfang an zusammenbringt und eine offene Kommunikation während des gesamten Projekts gewährleistet. Das Ziel besteht darin, isolierte Lieferungen zu vermeiden und Doppelarbeit zu reduzieren – beides Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter und integriert Systeme, Sicherheit und Betrieb, um eine starke End-to-End-Kompetenz zu bieten, deren letztendliches Ziel darin besteht, dem Kunden voll funktionsfähige Software zu liefern.
Bei der unvermeidlichen Umstellung auf einen stärker DevOps-orientierten Prozess kann das Risiko isolierter Entwicklung erneut auftreten. In der Regel können Sie das ursprüngliche agile Team zusammenarbeiten lassen, während die neu hinzugekommenen Sicherheits- und Betriebspersonalmitglieder noch ihren Weg im System finden müssen. Niemand kann mit Sicherheit sagen, wie sie einbezogen werden sollen, was sie tun sollen und was ihre übergeordneten Ziele sind.
Ohne klare Ziele, funktionsübergreifende Einarbeitung und direkte Kommunikation mit allen Beteiligten kann DevOps nicht funktionieren. Natürlich wird es eine Anpassungsphase geben, die ein sorgfältiges Änderungsmanagement erfordert, aber wenn alle Beteiligten sich über die Vorteile der DevOps-Funktionen einig sind, ist die Hälfte des Erfolgs bereits erreicht.
(Gott sei Dank) legt DevOps auch zunehmend Wert auf bewährte Sicherheitsverfahren und integriert diese als Teil des Prozesses, wodurch dieser Schritt entmystifiziert und die Kluft zwischen dem Sicherheitsteam und allen anderen geschlossen wird. Wie ich bereits erwähnt habe, haben wir noch einen langen Weg vor uns, bis Entwickler von Anfang an in die Lage versetzt werden, sicher zu programmieren, aber die erfolgreiche Umsetzung des DevOps-Ansatzes ist eine hervorragende Grundlage für die Förderung von Sicherheitskompetenzen innerhalb des Entwicklungsteams.
Automatisierung ist nicht alles (und auch nicht das Sicherste).
In gewisser Weise ist ein weiteres Merkmal des DevOps-Ansatzes die Automatisierung des Softwareentwicklungsprozesses. Das Prinzip der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) ist der Grundstein dieses Konzepts und, wie Sie sich vielleicht denken können, stark von Tools abhängig.
Tools sind großartig, das ist wahr. Sie können eine beispiellose Geschwindigkeit in den Softwarebereitstellungsprozess bringen und Code-Repositorys, Tests, Wartung und Speicherelemente relativ nahtlos verwalten.
Aber auch wenn Roboter uns eines Tages vielleicht alle unsere Arbeitsplätze wegnehmen und uns einsperren werden, so ist dies derzeit noch nicht der Fall. Die starke Abhängigkeit von Tools und Automatisierung öffnet Fehler Tür und Tor. Scans und Tests können möglicherweise nicht alles erkennen, und Code wird möglicherweise nicht überprüft, was zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen) führen kann. Angreifer benötigen lediglich eine Hintertür, um Daten zu stehlen, und der Verzicht auf den menschlichen Faktor bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
„平衡点” ist ein Instrument , das das Gleichgewicht zwischen Menschen sicherstellt. Das Instrument sollte als Assistent Ihres vertrauenswürdigen Teams dienen, um die Projektziele zu erreichen. Sie sollten:
- Geben Sie den Mitarbeitern ausreichend Zeit, sich mit der ausgewählten DevOps-Toolkette vertraut zu machen.
- Fokus auf effektive Zusammenarbeit (und wie Tools diese Zusammenarbeit unterstützen)
- Füllen Sie alle Lücken im Prozess, unabhängig davon, ob es sich um Fähigkeiten/Kenntnisse oder um werkzeugbasierte Lücken handelt.
Kurz gesagt: Man sollte nicht einfach „sich zusammenreißen“ und auf das beste Ergebnis hoffen.
DevOps ist kein Modewort, sondern eine Kultur. Wachsen Sie mit?
Selbst in den besten Zeiten ist das Änderungsmanagement schwierig. Die Angst vor dem Unbekannten kann selbst die besten Teammitglieder davon abhalten, ihre Fähigkeiten zu verbessern und ihren Horizont zu erweitern.
Sehen Sie, es reicht nicht aus, einfach zu sagen „Lasst uns DevOps einführen” und das Betriebsteam dazu zu bringen, seine Schreibtische umzustellen, um auf magische Weise einen erfolgreichen Prozess zu realisieren. Viele werden verwirrt sein, und langjährige Teammitglieder werden unzufrieden sein. Die erwartete Kommunikation ist von entscheidender Bedeutung, ebenso wie „den Weg gehen”. DevOps ist sowohl eine Entwicklungsmethode als auch eine kulturelle Bewegung, die Teams mit funktionsübergreifendem, kollaborativem Denken leben und atmen sollten.
Wie sieht eine hervorragende DevOps-Kultur aus?
- Einzelpersonen haben das Recht, Fachwissen in den Prozess einzubringen, und nicht nur Führungskräfte.
- Offene, ehrliche und respektvolle Kommunikation zwischen den Teams
- Jeder ist für das übergeordnete Ziel verantwortlich, Qualität und Sicherheit in den Entwicklungsprozess zu integrieren.
- Alle sind sich einig über die Definition von DevOps im Unternehmen, den Fahrplan und die Rollen, Aufgaben und Gründe jedes Einzelnen.
Seit vielen Jahren betone ich die Bedeutung einer positiven Sicherheitskultur in Entwicklungsteams, und DevOps bildet da keine Ausnahme.
Die richtigen Tools, Kenntnisse und Unterstützung sind entscheidend, um Best Practices für die Sicherheit umzusetzen, die Anzahl der entdeckten Schwachstellen zu reduzieren und dem Team die Bedeutung des Datenschutzes bewusst zu machen. Mit DevOps müssen Sie die kulturellen Grundlagen für positive Veränderungen schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen, die allgemeinen Projektziele und die Prozessschritte versteht.
Haben Sie das verstanden? Großartig. Lassen Sie uns nun unseren Fokus verlagern, die Sicherheit verbessern und DevSecOps zum ultimativen Plan für die Entwicklung herausragender Software machen.
Verzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
