Warum die DevOps-Implementierung oft erfolglos ist (und wie Sie das beheben können)
Dieser Artikel wurde ursprünglich veröffentlicht am DevOps.com. Es wurde aktualisiert und geändert.
Ähnlich wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist der Begriff „DevOps“ ein weiteres Schlagwort, das derzeit in den IT-Abteilungen großer Unternehmen im Umlauf ist.
Viele haben (zu Recht) die Notwendigkeit schnellerer Softwareentwicklungszyklen erkannt; ein präziserer Prozess, der eng an den Geschäftszielen ausgerichtet ist und einen klareren Arbeitsablauf und eine klarere Zusammenarbeit zwischen den Entwicklungs- und Betriebsteams ermöglicht. DevOps ist im Grunde genommen eine „agile“ Entwicklung, die alle erwachsen und bereit ist, die sich ständig ändernden, sich schnell entwickelnden Anforderungen des modernen Unternehmens zu erfüllen. Für Sicherheitsexperten ist das eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess integrieren und so die Kosten für die Behebung von Fehlern reduzieren und potenzielle Katastrophen in der Zukunft vermeiden.
Das Problem ist, dass nur wenige Unternehmen bei ihrer DevOps-Implementierung wirklich erfolgreich sind. Ohne die richtige Unterstützung, Pflege und Verständnis im gesamten Unternehmen kann es schnell zu einem Fass ohne Boden werden... Sie wissen schon, eines dieser Projekte, bei denen der Krieg nicht erwähnt wird.
Also, was ist das Problem? Es ist eine interessante Diskussion, und es gibt ein paar Möglichkeiten, DevOps anzugehen, von denen ich glaube, dass sie für einen viel reibungsloseren Ablauf sorgen werden. Ein effektives Programm geht über ein paar schicke neue Tools, Titel und Teambesprechungen hinaus. Es wird nicht immer einfach sein, aber sich die Zeit zu nehmen, eine kaputte Strategie zu reparieren (oder sie zu Beginn richtig umzusetzen), wird auf lange Sicht weitaus weniger schmerzhaft sein. Und letztendlich wird dies zu einer qualitativ hochwertigeren und sichereren Software führen.
Lassen Sie uns das aufschlüsseln:
Lass die „Agile“ -Schürzenschnüre los.
Es gibt ein gewisses Missverständnis, dass ein Unternehmen zwischen Agile und DevOps wählen muss und dabei den einen oder anderen Weg vorgeben muss, um niemals zurückzuschauen.
Die Sache ist, der Entwicklungsprozess funktioniert am besten, wenn beide als Einheit betrachtet und umgesetzt werden. DevOps ist nicht eine Neuerfindung der agilen Entwicklung; sie ist vielmehr eine Erweiterung davon. Die Räder neigen dazu, herunterzufallen, wenn die Erwartung besteht, dass der Prozess genau wie Agil oder ganz anders von Agile.
Agile unterstützt das Prinzip funktionsübergreifender Teams, bringt Designer, Tester und Entwickler von Anfang an zusammen und verpflichtet sich zu offenen Kommunikationswegen während des gesamten Projekts. Ziel ist es, die isolierte Bereitstellung zu beenden und die doppelte Bearbeitung zu reduzieren. Beides sind ebenfalls Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter und fügt Systeme, Sicherheit und Betrieb in den Mix ein, um ein robustes, durchgängiges Know-how zu bieten, das das ultimative Ziel hat, dem Kunden eine vollständige, funktionsfähige Softwarebereitstellung zu bieten.
Während der unvermeidlichen Probleme bei der Umstellung auf einen stärker auf DevOps ausgerichteten Prozess kann das Risiko einer isolierten Entwicklung erneut auftauchen. Oft kann das ursprüngliche Agile-Team zusammenarbeiten, während die Sicherheits- und Betriebserweiterungen immer noch ihren Weg in die Maschine finden. Niemand ist sich ganz sicher, wie man sie einbezieht, was sie tun sollten und welche allgemeinen Ziele sie verfolgen.
DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifendes Onboarding und direkte Kommunikation mit allen Beteiligten. Natürlich wird es eine Anpassungsphase geben, die ein sorgfältiges Change-Management erfordert, aber alle mit den Verbesserungen, die die DevOps-Funktionalität mit sich bringen wird, auf den gleichen Stand zu bringen, ist die halbe Miete.
Immer mehr (Gott sei Dank) legt DevOps auch als Teil des Prozesses Wert auf bewährte Sicherheitsverfahren, entmystifiziert diesen Schritt und überbrückt die Lücke zwischen dem Sicherheitsteam und allen anderen. Wie ich bereits sagte, haben wir noch einen langen Weg vor uns, um Entwickler zu befähigen, von Anfang an sicher zu programmieren, aber die erfolgreiche Implementierung von DevOps-Methoden ist eine hervorragende Grundlage, auf der Sicherheitskompetenzen innerhalb des Entwicklungsteams aufgebaut werden können.
Automatisierung ist nicht alles (und sie ist nicht die sicherste).
Ein weiteres Merkmal der DevOps-Methodik ist bis zu einem gewissen Grad die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und, wie Sie sich wahrscheinlich vorstellen können, sehr abhängig von Tools.
Tools sind fantastisch, das sind sie wirklich. Sie können den Softwarebereitstellungsprozess beispiellos beschleunigen und das Code-Repository sowie die Test-, Wartungs- und Speicherelemente relativ problemlos verwalten.
Roboter könnten zwar alle unsere Jobs wegnehmen und uns eines Tages einsperren, aber sie sind definitiv noch nicht da. Die starke Abhängigkeit von Tools und Automatisierung lässt ein großes Fenster für Fehler offen. Scans und Tests erfassen möglicherweise nicht alles, Code bleibt möglicherweise ungeprüft, und das führt später zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen). Ein Angreifer braucht nur eine Hintertür, um Daten auszunutzen, und der Verzicht auf die menschliche Komponente bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
Die „goldene Mitte“ besteht darin, sicherzustellen, dass Sie ein ausgewogenes Verhältnis zwischen den Menschen haben und Werkzeuge. Tools sollten als Assistenten für ein Team dienen, dem Sie vertrauen, um die Projektziele zu erreichen. Sie sollten:
- Planen Sie genügend Zeit ein, damit sich die Mitarbeiter mit der ausgewählten DevOps-Toolchain vertraut machen können
- Konzentrieren Sie sich auf eine effektive Zusammenarbeit (und darauf, wie die Tools dies unterstützen können)
- Schließen Sie alle Lücken im Prozess, unabhängig davon, ob sie auf Fähigkeiten, Kenntnissen oder Tools beruhen.
Kurzum, „rüsten“ Sie nicht einfach auf und hoffen Sie auf das Beste.
DevOps ist kein Schlagwort, es ist eine Kultur. Baust du deine aus?
Change Management ist im besten Fall schwierig. Die Angst vor dem Unbekannten kann selbst die brillantesten Teammitglieder davon abhalten, ihre Fähigkeiten zu erweitern und ihren Horizont zu erweitern.
Sie sehen, nur zu sagen „Lass uns DevOps machen“ und das Betriebsteam dazu zu bringen, die Schreibtische zu verlagern, wird nicht auf magische Weise einen erfolgreichen Prozess implementieren. Viele werden verwirrt sein, und langjährige Teammitglieder werden sich verärgert fühlen. Die Kommunikation der Erwartungen ist von entscheidender Bedeutung, ebenso wie „den eigenen Weg gehen“. DevOps ist ebenso eine kulturelle Bewegung wie eine Entwicklungsmethodik, und ein Team sollte eine funktionsübergreifende, kollaborative Denkweise leben und atmen.
Wie sieht eine großartige DevOps-Kultur aus?
- Einzelpersonen werden befähigt, ihr Fachwissen in einen Prozess einzubringen, nicht nur Führungskräfte
- Offene, ehrliche und respektvolle Kommunikation zwischen Teams
- Jede Person übernimmt die Verantwortung für das Gesamtziel der Gebäudequalität und -sicherheit in den Entwicklungsprozess.
- Alle sind sich einig, was die Definition von DevOps im Unternehmen, die Roadmap und das Wie/Was/Warum der Rolle der einzelnen Personen angeht.
Jahrelang habe ich betont, wie wichtig es ist, positive Sicherheitskulturen in Entwicklungsteams aufzubauen, und DevOps ist da nicht anders.
Die richtigen Tools, das richtige Wissen und der richtige Support sind unerlässlich, um bewährte Sicherheitsverfahren umzusetzen, einen Rückgang der entdeckten Sicherheitslücken zu beobachten und dem Team die Augen für die Bedeutung des Schutzes unserer Daten zu öffnen. Mit DevOps müssen Sie die kulturellen Grundlagen für positive Veränderungen schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen sowie die allgemeinen Projektziele und die einzelnen Schritte im Prozess versteht.
Hast du das gemeistert? Großartig. Lassen Sie uns nun die Nadel wechseln, den Sicherheitsaspekt näher beleuchten und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.
Nur wenige Unternehmen sind bei ihrer DevOps-Implementierung wirklich erfolgreich. Der richtige Support, die richtige Pflege und das richtige Verständnis für das gesamte Unternehmen können Ihren Prozess jedoch verändern.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Dieser Artikel wurde ursprünglich veröffentlicht am DevOps.com. Es wurde aktualisiert und geändert.
Ähnlich wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist der Begriff „DevOps“ ein weiteres Schlagwort, das derzeit in den IT-Abteilungen großer Unternehmen im Umlauf ist.
Viele haben (zu Recht) die Notwendigkeit schnellerer Softwareentwicklungszyklen erkannt; ein präziserer Prozess, der eng an den Geschäftszielen ausgerichtet ist und einen klareren Arbeitsablauf und eine klarere Zusammenarbeit zwischen den Entwicklungs- und Betriebsteams ermöglicht. DevOps ist im Grunde genommen eine „agile“ Entwicklung, die alle erwachsen und bereit ist, die sich ständig ändernden, sich schnell entwickelnden Anforderungen des modernen Unternehmens zu erfüllen. Für Sicherheitsexperten ist das eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess integrieren und so die Kosten für die Behebung von Fehlern reduzieren und potenzielle Katastrophen in der Zukunft vermeiden.
Das Problem ist, dass nur wenige Unternehmen bei ihrer DevOps-Implementierung wirklich erfolgreich sind. Ohne die richtige Unterstützung, Pflege und Verständnis im gesamten Unternehmen kann es schnell zu einem Fass ohne Boden werden... Sie wissen schon, eines dieser Projekte, bei denen der Krieg nicht erwähnt wird.
Also, was ist das Problem? Es ist eine interessante Diskussion, und es gibt ein paar Möglichkeiten, DevOps anzugehen, von denen ich glaube, dass sie für einen viel reibungsloseren Ablauf sorgen werden. Ein effektives Programm geht über ein paar schicke neue Tools, Titel und Teambesprechungen hinaus. Es wird nicht immer einfach sein, aber sich die Zeit zu nehmen, eine kaputte Strategie zu reparieren (oder sie zu Beginn richtig umzusetzen), wird auf lange Sicht weitaus weniger schmerzhaft sein. Und letztendlich wird dies zu einer qualitativ hochwertigeren und sichereren Software führen.
Lassen Sie uns das aufschlüsseln:
Lass die „Agile“ -Schürzenschnüre los.
Es gibt ein gewisses Missverständnis, dass ein Unternehmen zwischen Agile und DevOps wählen muss und dabei den einen oder anderen Weg vorgeben muss, um niemals zurückzuschauen.
Die Sache ist, der Entwicklungsprozess funktioniert am besten, wenn beide als Einheit betrachtet und umgesetzt werden. DevOps ist nicht eine Neuerfindung der agilen Entwicklung; sie ist vielmehr eine Erweiterung davon. Die Räder neigen dazu, herunterzufallen, wenn die Erwartung besteht, dass der Prozess genau wie Agil oder ganz anders von Agile.
Agile unterstützt das Prinzip funktionsübergreifender Teams, bringt Designer, Tester und Entwickler von Anfang an zusammen und verpflichtet sich zu offenen Kommunikationswegen während des gesamten Projekts. Ziel ist es, die isolierte Bereitstellung zu beenden und die doppelte Bearbeitung zu reduzieren. Beides sind ebenfalls Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter und fügt Systeme, Sicherheit und Betrieb in den Mix ein, um ein robustes, durchgängiges Know-how zu bieten, das das ultimative Ziel hat, dem Kunden eine vollständige, funktionsfähige Softwarebereitstellung zu bieten.
Während der unvermeidlichen Probleme bei der Umstellung auf einen stärker auf DevOps ausgerichteten Prozess kann das Risiko einer isolierten Entwicklung erneut auftauchen. Oft kann das ursprüngliche Agile-Team zusammenarbeiten, während die Sicherheits- und Betriebserweiterungen immer noch ihren Weg in die Maschine finden. Niemand ist sich ganz sicher, wie man sie einbezieht, was sie tun sollten und welche allgemeinen Ziele sie verfolgen.
DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifendes Onboarding und direkte Kommunikation mit allen Beteiligten. Natürlich wird es eine Anpassungsphase geben, die ein sorgfältiges Change-Management erfordert, aber alle mit den Verbesserungen, die die DevOps-Funktionalität mit sich bringen wird, auf den gleichen Stand zu bringen, ist die halbe Miete.
Immer mehr (Gott sei Dank) legt DevOps auch als Teil des Prozesses Wert auf bewährte Sicherheitsverfahren, entmystifiziert diesen Schritt und überbrückt die Lücke zwischen dem Sicherheitsteam und allen anderen. Wie ich bereits sagte, haben wir noch einen langen Weg vor uns, um Entwickler zu befähigen, von Anfang an sicher zu programmieren, aber die erfolgreiche Implementierung von DevOps-Methoden ist eine hervorragende Grundlage, auf der Sicherheitskompetenzen innerhalb des Entwicklungsteams aufgebaut werden können.
Automatisierung ist nicht alles (und sie ist nicht die sicherste).
Ein weiteres Merkmal der DevOps-Methodik ist bis zu einem gewissen Grad die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und, wie Sie sich wahrscheinlich vorstellen können, sehr abhängig von Tools.
Tools sind fantastisch, das sind sie wirklich. Sie können den Softwarebereitstellungsprozess beispiellos beschleunigen und das Code-Repository sowie die Test-, Wartungs- und Speicherelemente relativ problemlos verwalten.
Roboter könnten zwar alle unsere Jobs wegnehmen und uns eines Tages einsperren, aber sie sind definitiv noch nicht da. Die starke Abhängigkeit von Tools und Automatisierung lässt ein großes Fenster für Fehler offen. Scans und Tests erfassen möglicherweise nicht alles, Code bleibt möglicherweise ungeprüft, und das führt später zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen). Ein Angreifer braucht nur eine Hintertür, um Daten auszunutzen, und der Verzicht auf die menschliche Komponente bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
Die „goldene Mitte“ besteht darin, sicherzustellen, dass Sie ein ausgewogenes Verhältnis zwischen den Menschen haben und Werkzeuge. Tools sollten als Assistenten für ein Team dienen, dem Sie vertrauen, um die Projektziele zu erreichen. Sie sollten:
- Planen Sie genügend Zeit ein, damit sich die Mitarbeiter mit der ausgewählten DevOps-Toolchain vertraut machen können
- Konzentrieren Sie sich auf eine effektive Zusammenarbeit (und darauf, wie die Tools dies unterstützen können)
- Schließen Sie alle Lücken im Prozess, unabhängig davon, ob sie auf Fähigkeiten, Kenntnissen oder Tools beruhen.
Kurzum, „rüsten“ Sie nicht einfach auf und hoffen Sie auf das Beste.
DevOps ist kein Schlagwort, es ist eine Kultur. Baust du deine aus?
Change Management ist im besten Fall schwierig. Die Angst vor dem Unbekannten kann selbst die brillantesten Teammitglieder davon abhalten, ihre Fähigkeiten zu erweitern und ihren Horizont zu erweitern.
Sie sehen, nur zu sagen „Lass uns DevOps machen“ und das Betriebsteam dazu zu bringen, die Schreibtische zu verlagern, wird nicht auf magische Weise einen erfolgreichen Prozess implementieren. Viele werden verwirrt sein, und langjährige Teammitglieder werden sich verärgert fühlen. Die Kommunikation der Erwartungen ist von entscheidender Bedeutung, ebenso wie „den eigenen Weg gehen“. DevOps ist ebenso eine kulturelle Bewegung wie eine Entwicklungsmethodik, und ein Team sollte eine funktionsübergreifende, kollaborative Denkweise leben und atmen.
Wie sieht eine großartige DevOps-Kultur aus?
- Einzelpersonen werden befähigt, ihr Fachwissen in einen Prozess einzubringen, nicht nur Führungskräfte
- Offene, ehrliche und respektvolle Kommunikation zwischen Teams
- Jede Person übernimmt die Verantwortung für das Gesamtziel der Gebäudequalität und -sicherheit in den Entwicklungsprozess.
- Alle sind sich einig, was die Definition von DevOps im Unternehmen, die Roadmap und das Wie/Was/Warum der Rolle der einzelnen Personen angeht.
Jahrelang habe ich betont, wie wichtig es ist, positive Sicherheitskulturen in Entwicklungsteams aufzubauen, und DevOps ist da nicht anders.
Die richtigen Tools, das richtige Wissen und der richtige Support sind unerlässlich, um bewährte Sicherheitsverfahren umzusetzen, einen Rückgang der entdeckten Sicherheitslücken zu beobachten und dem Team die Augen für die Bedeutung des Schutzes unserer Daten zu öffnen. Mit DevOps müssen Sie die kulturellen Grundlagen für positive Veränderungen schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen sowie die allgemeinen Projektziele und die einzelnen Schritte im Prozess versteht.
Hast du das gemeistert? Großartig. Lassen Sie uns nun die Nadel wechseln, den Sicherheitsaspekt näher beleuchten und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.
Dieser Artikel wurde ursprünglich veröffentlicht am DevOps.com. Es wurde aktualisiert und geändert.
Ähnlich wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist der Begriff „DevOps“ ein weiteres Schlagwort, das derzeit in den IT-Abteilungen großer Unternehmen im Umlauf ist.
Viele haben (zu Recht) die Notwendigkeit schnellerer Softwareentwicklungszyklen erkannt; ein präziserer Prozess, der eng an den Geschäftszielen ausgerichtet ist und einen klareren Arbeitsablauf und eine klarere Zusammenarbeit zwischen den Entwicklungs- und Betriebsteams ermöglicht. DevOps ist im Grunde genommen eine „agile“ Entwicklung, die alle erwachsen und bereit ist, die sich ständig ändernden, sich schnell entwickelnden Anforderungen des modernen Unternehmens zu erfüllen. Für Sicherheitsexperten ist das eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess integrieren und so die Kosten für die Behebung von Fehlern reduzieren und potenzielle Katastrophen in der Zukunft vermeiden.
Das Problem ist, dass nur wenige Unternehmen bei ihrer DevOps-Implementierung wirklich erfolgreich sind. Ohne die richtige Unterstützung, Pflege und Verständnis im gesamten Unternehmen kann es schnell zu einem Fass ohne Boden werden... Sie wissen schon, eines dieser Projekte, bei denen der Krieg nicht erwähnt wird.
Also, was ist das Problem? Es ist eine interessante Diskussion, und es gibt ein paar Möglichkeiten, DevOps anzugehen, von denen ich glaube, dass sie für einen viel reibungsloseren Ablauf sorgen werden. Ein effektives Programm geht über ein paar schicke neue Tools, Titel und Teambesprechungen hinaus. Es wird nicht immer einfach sein, aber sich die Zeit zu nehmen, eine kaputte Strategie zu reparieren (oder sie zu Beginn richtig umzusetzen), wird auf lange Sicht weitaus weniger schmerzhaft sein. Und letztendlich wird dies zu einer qualitativ hochwertigeren und sichereren Software führen.
Lassen Sie uns das aufschlüsseln:
Lass die „Agile“ -Schürzenschnüre los.
Es gibt ein gewisses Missverständnis, dass ein Unternehmen zwischen Agile und DevOps wählen muss und dabei den einen oder anderen Weg vorgeben muss, um niemals zurückzuschauen.
Die Sache ist, der Entwicklungsprozess funktioniert am besten, wenn beide als Einheit betrachtet und umgesetzt werden. DevOps ist nicht eine Neuerfindung der agilen Entwicklung; sie ist vielmehr eine Erweiterung davon. Die Räder neigen dazu, herunterzufallen, wenn die Erwartung besteht, dass der Prozess genau wie Agil oder ganz anders von Agile.
Agile unterstützt das Prinzip funktionsübergreifender Teams, bringt Designer, Tester und Entwickler von Anfang an zusammen und verpflichtet sich zu offenen Kommunikationswegen während des gesamten Projekts. Ziel ist es, die isolierte Bereitstellung zu beenden und die doppelte Bearbeitung zu reduzieren. Beides sind ebenfalls Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter und fügt Systeme, Sicherheit und Betrieb in den Mix ein, um ein robustes, durchgängiges Know-how zu bieten, das das ultimative Ziel hat, dem Kunden eine vollständige, funktionsfähige Softwarebereitstellung zu bieten.
Während der unvermeidlichen Probleme bei der Umstellung auf einen stärker auf DevOps ausgerichteten Prozess kann das Risiko einer isolierten Entwicklung erneut auftauchen. Oft kann das ursprüngliche Agile-Team zusammenarbeiten, während die Sicherheits- und Betriebserweiterungen immer noch ihren Weg in die Maschine finden. Niemand ist sich ganz sicher, wie man sie einbezieht, was sie tun sollten und welche allgemeinen Ziele sie verfolgen.
DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifendes Onboarding und direkte Kommunikation mit allen Beteiligten. Natürlich wird es eine Anpassungsphase geben, die ein sorgfältiges Change-Management erfordert, aber alle mit den Verbesserungen, die die DevOps-Funktionalität mit sich bringen wird, auf den gleichen Stand zu bringen, ist die halbe Miete.
Immer mehr (Gott sei Dank) legt DevOps auch als Teil des Prozesses Wert auf bewährte Sicherheitsverfahren, entmystifiziert diesen Schritt und überbrückt die Lücke zwischen dem Sicherheitsteam und allen anderen. Wie ich bereits sagte, haben wir noch einen langen Weg vor uns, um Entwickler zu befähigen, von Anfang an sicher zu programmieren, aber die erfolgreiche Implementierung von DevOps-Methoden ist eine hervorragende Grundlage, auf der Sicherheitskompetenzen innerhalb des Entwicklungsteams aufgebaut werden können.
Automatisierung ist nicht alles (und sie ist nicht die sicherste).
Ein weiteres Merkmal der DevOps-Methodik ist bis zu einem gewissen Grad die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und, wie Sie sich wahrscheinlich vorstellen können, sehr abhängig von Tools.
Tools sind fantastisch, das sind sie wirklich. Sie können den Softwarebereitstellungsprozess beispiellos beschleunigen und das Code-Repository sowie die Test-, Wartungs- und Speicherelemente relativ problemlos verwalten.
Roboter könnten zwar alle unsere Jobs wegnehmen und uns eines Tages einsperren, aber sie sind definitiv noch nicht da. Die starke Abhängigkeit von Tools und Automatisierung lässt ein großes Fenster für Fehler offen. Scans und Tests erfassen möglicherweise nicht alles, Code bleibt möglicherweise ungeprüft, und das führt später zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen). Ein Angreifer braucht nur eine Hintertür, um Daten auszunutzen, und der Verzicht auf die menschliche Komponente bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
Die „goldene Mitte“ besteht darin, sicherzustellen, dass Sie ein ausgewogenes Verhältnis zwischen den Menschen haben und Werkzeuge. Tools sollten als Assistenten für ein Team dienen, dem Sie vertrauen, um die Projektziele zu erreichen. Sie sollten:
- Planen Sie genügend Zeit ein, damit sich die Mitarbeiter mit der ausgewählten DevOps-Toolchain vertraut machen können
- Konzentrieren Sie sich auf eine effektive Zusammenarbeit (und darauf, wie die Tools dies unterstützen können)
- Schließen Sie alle Lücken im Prozess, unabhängig davon, ob sie auf Fähigkeiten, Kenntnissen oder Tools beruhen.
Kurzum, „rüsten“ Sie nicht einfach auf und hoffen Sie auf das Beste.
DevOps ist kein Schlagwort, es ist eine Kultur. Baust du deine aus?
Change Management ist im besten Fall schwierig. Die Angst vor dem Unbekannten kann selbst die brillantesten Teammitglieder davon abhalten, ihre Fähigkeiten zu erweitern und ihren Horizont zu erweitern.
Sie sehen, nur zu sagen „Lass uns DevOps machen“ und das Betriebsteam dazu zu bringen, die Schreibtische zu verlagern, wird nicht auf magische Weise einen erfolgreichen Prozess implementieren. Viele werden verwirrt sein, und langjährige Teammitglieder werden sich verärgert fühlen. Die Kommunikation der Erwartungen ist von entscheidender Bedeutung, ebenso wie „den eigenen Weg gehen“. DevOps ist ebenso eine kulturelle Bewegung wie eine Entwicklungsmethodik, und ein Team sollte eine funktionsübergreifende, kollaborative Denkweise leben und atmen.
Wie sieht eine großartige DevOps-Kultur aus?
- Einzelpersonen werden befähigt, ihr Fachwissen in einen Prozess einzubringen, nicht nur Führungskräfte
- Offene, ehrliche und respektvolle Kommunikation zwischen Teams
- Jede Person übernimmt die Verantwortung für das Gesamtziel der Gebäudequalität und -sicherheit in den Entwicklungsprozess.
- Alle sind sich einig, was die Definition von DevOps im Unternehmen, die Roadmap und das Wie/Was/Warum der Rolle der einzelnen Personen angeht.
Jahrelang habe ich betont, wie wichtig es ist, positive Sicherheitskulturen in Entwicklungsteams aufzubauen, und DevOps ist da nicht anders.
Die richtigen Tools, das richtige Wissen und der richtige Support sind unerlässlich, um bewährte Sicherheitsverfahren umzusetzen, einen Rückgang der entdeckten Sicherheitslücken zu beobachten und dem Team die Augen für die Bedeutung des Schutzes unserer Daten zu öffnen. Mit DevOps müssen Sie die kulturellen Grundlagen für positive Veränderungen schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen sowie die allgemeinen Projektziele und die einzelnen Schritte im Prozess versteht.
Hast du das gemeistert? Großartig. Lassen Sie uns nun die Nadel wechseln, den Sicherheitsaspekt näher beleuchten und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Dieser Artikel wurde ursprünglich veröffentlicht am DevOps.com. Es wurde aktualisiert und geändert.
Ähnlich wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist der Begriff „DevOps“ ein weiteres Schlagwort, das derzeit in den IT-Abteilungen großer Unternehmen im Umlauf ist.
Viele haben (zu Recht) die Notwendigkeit schnellerer Softwareentwicklungszyklen erkannt; ein präziserer Prozess, der eng an den Geschäftszielen ausgerichtet ist und einen klareren Arbeitsablauf und eine klarere Zusammenarbeit zwischen den Entwicklungs- und Betriebsteams ermöglicht. DevOps ist im Grunde genommen eine „agile“ Entwicklung, die alle erwachsen und bereit ist, die sich ständig ändernden, sich schnell entwickelnden Anforderungen des modernen Unternehmens zu erfüllen. Für Sicherheitsexperten ist das eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess integrieren und so die Kosten für die Behebung von Fehlern reduzieren und potenzielle Katastrophen in der Zukunft vermeiden.
Das Problem ist, dass nur wenige Unternehmen bei ihrer DevOps-Implementierung wirklich erfolgreich sind. Ohne die richtige Unterstützung, Pflege und Verständnis im gesamten Unternehmen kann es schnell zu einem Fass ohne Boden werden... Sie wissen schon, eines dieser Projekte, bei denen der Krieg nicht erwähnt wird.
Also, was ist das Problem? Es ist eine interessante Diskussion, und es gibt ein paar Möglichkeiten, DevOps anzugehen, von denen ich glaube, dass sie für einen viel reibungsloseren Ablauf sorgen werden. Ein effektives Programm geht über ein paar schicke neue Tools, Titel und Teambesprechungen hinaus. Es wird nicht immer einfach sein, aber sich die Zeit zu nehmen, eine kaputte Strategie zu reparieren (oder sie zu Beginn richtig umzusetzen), wird auf lange Sicht weitaus weniger schmerzhaft sein. Und letztendlich wird dies zu einer qualitativ hochwertigeren und sichereren Software führen.
Lassen Sie uns das aufschlüsseln:
Lass die „Agile“ -Schürzenschnüre los.
Es gibt ein gewisses Missverständnis, dass ein Unternehmen zwischen Agile und DevOps wählen muss und dabei den einen oder anderen Weg vorgeben muss, um niemals zurückzuschauen.
Die Sache ist, der Entwicklungsprozess funktioniert am besten, wenn beide als Einheit betrachtet und umgesetzt werden. DevOps ist nicht eine Neuerfindung der agilen Entwicklung; sie ist vielmehr eine Erweiterung davon. Die Räder neigen dazu, herunterzufallen, wenn die Erwartung besteht, dass der Prozess genau wie Agil oder ganz anders von Agile.
Agile unterstützt das Prinzip funktionsübergreifender Teams, bringt Designer, Tester und Entwickler von Anfang an zusammen und verpflichtet sich zu offenen Kommunikationswegen während des gesamten Projekts. Ziel ist es, die isolierte Bereitstellung zu beenden und die doppelte Bearbeitung zu reduzieren. Beides sind ebenfalls Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter und fügt Systeme, Sicherheit und Betrieb in den Mix ein, um ein robustes, durchgängiges Know-how zu bieten, das das ultimative Ziel hat, dem Kunden eine vollständige, funktionsfähige Softwarebereitstellung zu bieten.
Während der unvermeidlichen Probleme bei der Umstellung auf einen stärker auf DevOps ausgerichteten Prozess kann das Risiko einer isolierten Entwicklung erneut auftauchen. Oft kann das ursprüngliche Agile-Team zusammenarbeiten, während die Sicherheits- und Betriebserweiterungen immer noch ihren Weg in die Maschine finden. Niemand ist sich ganz sicher, wie man sie einbezieht, was sie tun sollten und welche allgemeinen Ziele sie verfolgen.
DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifendes Onboarding und direkte Kommunikation mit allen Beteiligten. Natürlich wird es eine Anpassungsphase geben, die ein sorgfältiges Change-Management erfordert, aber alle mit den Verbesserungen, die die DevOps-Funktionalität mit sich bringen wird, auf den gleichen Stand zu bringen, ist die halbe Miete.
Immer mehr (Gott sei Dank) legt DevOps auch als Teil des Prozesses Wert auf bewährte Sicherheitsverfahren, entmystifiziert diesen Schritt und überbrückt die Lücke zwischen dem Sicherheitsteam und allen anderen. Wie ich bereits sagte, haben wir noch einen langen Weg vor uns, um Entwickler zu befähigen, von Anfang an sicher zu programmieren, aber die erfolgreiche Implementierung von DevOps-Methoden ist eine hervorragende Grundlage, auf der Sicherheitskompetenzen innerhalb des Entwicklungsteams aufgebaut werden können.
Automatisierung ist nicht alles (und sie ist nicht die sicherste).
Ein weiteres Merkmal der DevOps-Methodik ist bis zu einem gewissen Grad die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und, wie Sie sich wahrscheinlich vorstellen können, sehr abhängig von Tools.
Tools sind fantastisch, das sind sie wirklich. Sie können den Softwarebereitstellungsprozess beispiellos beschleunigen und das Code-Repository sowie die Test-, Wartungs- und Speicherelemente relativ problemlos verwalten.
Roboter könnten zwar alle unsere Jobs wegnehmen und uns eines Tages einsperren, aber sie sind definitiv noch nicht da. Die starke Abhängigkeit von Tools und Automatisierung lässt ein großes Fenster für Fehler offen. Scans und Tests erfassen möglicherweise nicht alles, Code bleibt möglicherweise ungeprüft, und das führt später zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen). Ein Angreifer braucht nur eine Hintertür, um Daten auszunutzen, und der Verzicht auf die menschliche Komponente bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.
Die „goldene Mitte“ besteht darin, sicherzustellen, dass Sie ein ausgewogenes Verhältnis zwischen den Menschen haben und Werkzeuge. Tools sollten als Assistenten für ein Team dienen, dem Sie vertrauen, um die Projektziele zu erreichen. Sie sollten:
- Planen Sie genügend Zeit ein, damit sich die Mitarbeiter mit der ausgewählten DevOps-Toolchain vertraut machen können
- Konzentrieren Sie sich auf eine effektive Zusammenarbeit (und darauf, wie die Tools dies unterstützen können)
- Schließen Sie alle Lücken im Prozess, unabhängig davon, ob sie auf Fähigkeiten, Kenntnissen oder Tools beruhen.
Kurzum, „rüsten“ Sie nicht einfach auf und hoffen Sie auf das Beste.
DevOps ist kein Schlagwort, es ist eine Kultur. Baust du deine aus?
Change Management ist im besten Fall schwierig. Die Angst vor dem Unbekannten kann selbst die brillantesten Teammitglieder davon abhalten, ihre Fähigkeiten zu erweitern und ihren Horizont zu erweitern.
Sie sehen, nur zu sagen „Lass uns DevOps machen“ und das Betriebsteam dazu zu bringen, die Schreibtische zu verlagern, wird nicht auf magische Weise einen erfolgreichen Prozess implementieren. Viele werden verwirrt sein, und langjährige Teammitglieder werden sich verärgert fühlen. Die Kommunikation der Erwartungen ist von entscheidender Bedeutung, ebenso wie „den eigenen Weg gehen“. DevOps ist ebenso eine kulturelle Bewegung wie eine Entwicklungsmethodik, und ein Team sollte eine funktionsübergreifende, kollaborative Denkweise leben und atmen.
Wie sieht eine großartige DevOps-Kultur aus?
- Einzelpersonen werden befähigt, ihr Fachwissen in einen Prozess einzubringen, nicht nur Führungskräfte
- Offene, ehrliche und respektvolle Kommunikation zwischen Teams
- Jede Person übernimmt die Verantwortung für das Gesamtziel der Gebäudequalität und -sicherheit in den Entwicklungsprozess.
- Alle sind sich einig, was die Definition von DevOps im Unternehmen, die Roadmap und das Wie/Was/Warum der Rolle der einzelnen Personen angeht.
Jahrelang habe ich betont, wie wichtig es ist, positive Sicherheitskulturen in Entwicklungsteams aufzubauen, und DevOps ist da nicht anders.
Die richtigen Tools, das richtige Wissen und der richtige Support sind unerlässlich, um bewährte Sicherheitsverfahren umzusetzen, einen Rückgang der entdeckten Sicherheitslücken zu beobachten und dem Team die Augen für die Bedeutung des Schutzes unserer Daten zu öffnen. Mit DevOps müssen Sie die kulturellen Grundlagen für positive Veränderungen schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen sowie die allgemeinen Projektziele und die einzelnen Schritte im Prozess versteht.
Hast du das gemeistert? Großartig. Lassen Sie uns nun die Nadel wechseln, den Sicherheitsaspekt näher beleuchten und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.
Inhaltsverzeichniss
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
