
Teams mit ausgereiften DevOps-Praktiken erkennen Schwachstellen mit dreifacher Wahrscheinlichkeit früher + GitLab hat gestern Abend die Ergebnisse seiner dritten, jährlich stattfindenden Entwicklerumfrage veröffentlicht. Sie hebt die klaren Vorteile aber auch die kritischen Herausforderungen der DevOps-Methodik hervor. Wenn DevOps richtig umgesetzt wird, kann dies die Sicherheit deutlich verbessern, eine stetige Implementierung ermöglichen und Entwickler, Sicherheitsexperten und das Operations-Team näher zusammenbringen. Die Umfrage unter mehr als 4.000 Befragten ergab, dass Sicherheitsteams als Teil einer guten DevOps-Praxis dreimal häufiger Fehler bereits vor der Code-Zusammenführung entdecken. Außerdem testen sie 90 % häufiger einen Anteil zwischen 91 und 100 % des Codes gegenüber Organisationen mit DevOps im Frühstadium. Fast die Hälfte aller Befragten praktizierte zumindest in einem Teilen ihrer Organisationen Continuous Deployment. Trotzdem bewertete nur etwa ein Drittel der Befragten die DevOps-Anstrengungen ihrer Organisation tatsächlich als „gut“.
„Der diesjährige Global Developer Survey erweitert die Betrachtung von Kultur, Workflow und Tools und umfasst nun auch Betriebs- und Sicherheitsteams, um eine umfassende Bewertung des gesamten Softwareentwicklungs-Lebenszyklus zu ermöglichen“, erklärt Sid Sijbrandij, CEO und Mitbegründer von GitLab. „Die große Erkenntnis dieser Umfrage ist, dass Early Adopters starker DevOps-Modelle von größerer Sicherheit und einfacheren Innovationsmöglichkeiten profitieren. Allerdings bremsen vorhandene Hemmnisse die Entwickler- und Sicherheitsteams beim Erreichen echter DevSecOps immer noch aus. Die Teams benötigen eine Gesamtlösung, die für eine optimale Implementierung Einblick in beide Seiten des Prozesses bietet.“
Erhebliche Sicherheitshemmnisse bleiben
Alle Software-Profis erkennen die Notwendigkeit, dass Sicherheit in den Entwicklungs-Lebenszyklus integriert werden muss, aber die Umfrage zeigt, dass die traditionellen Reibungsverluste zwischen Sicherheits- und Entwicklungsteams noch immer bestehen. Während 69 % der Entwickler sagten, dass von ihnen erwartet wird, dass sie sicheren Code schreiben, gab fast die Hälfte der befragten Sicherheitsprofis (49 %) an, dass sie die Entwickler nur schwer dazu bringen können, die Behebung von Schwachstellen zu priorisieren. Außerdem sind 68 % der Sicherheitsexperten der Meinung, dass nur weniger als die Hälfte der Entwickler in der Lage ist, Sicherheitsschwachstellen später im Lebenszyklus zu erkennen. Ungefähr die Hälfte der Sicherheitsexperten gab an, Fehler am häufigsten erst dann zu finden, wenn der Code in einer Testumgebung bereits zusammengeführt wurde.
„Unsere Untersuchung zeigt uns, dass die meisten Entwickler die Gefahren von Sicherheitslücken durchaus kennen und ihre Sicherheitsfunktionen drastisch verbessern möchten. Doch leider unterstützen die Organisationen die Priorisierung der Erstellung von sicherem Code noch viel zu wenig. Zum Beispiel fehlen oft Schulungen zu sicherer Codierung sowie die Implementierung automatisierter Scan- und Testwerkzeuge, womit man diese Situation verändern könnte“, so Colin Fletcher, Führungskraft im Bereich Market Research and Customer Insights bei GitLab
Ausgereifte und unreife DevOps-Modelle
GitLab hat aber auch festgestellt, dass die Akzeptanz von DevOps insgesamt auf dem Vormarsch ist, und diejenigen Teams, die erfolgreich ein ausgereiftes DevOps-Modell implementiert haben, erhebliche Verbesserungen in ihrem Workflow feststellen. So fühlen sich Entwickler, die im Unternehmen mit „unreifen“ DevOps-Modellen arbeiten, durch deren Abläufe behindert, während diejenigen, die „ausgereifte“ Modelle nutzen, folgende Verbesserungen bemerken:
- Die Wahrscheinlichkeit, dass sich die Entwickler innovativ fühlen, ist fast 1,5-mal so hoch.
- Es ist dreimal wahrscheinlicher, dass die Entwickler Sicherheitsschwachstellen früher in der Pipeline entdecken.
Auf der anderen Seite führt eine sehr schlechte DevOps-Implementierung meist hierzu:
- Für die betroffenen Unternehmen ist es 2,5-mal so wahrscheinlich, dass während der Planungsphase viele Verzögerungen auftreten.
- Sie stellen 2,6-mal so häufig bürokratische Hürden fest, welche die Behebung von Schwachstellen verlangsamen.
Investitionen in CI/CD auf dem Vormarsch
Continuous Delivery – ein Eckpfeiler von DevOps – wird von Entwicklern als entscheidend angesehen. Von den Befragten gaben 43 % an, dass ihre Unternehmen bereits kontinuierliche Bereitstellung nutzen (d. h. On-Demand-Bereitstellung und/oder mehrere Implementierungen pro Tag), und 41 % erklärten, dass Implementierungen zwischen einmal täglich und einmal im Monat erfolgen.
Fast zwei Drittel der Befragten wollen 2019 in die Infrastruktur investieren, um kontinuierliche Integration, Implementierung und Bereitstellung zu fördern.
Dezentrale Teams übertreffen Teams vor Ort
Dezentrales Arbeiten führt oft zu mehr Zusammenarbeit, besserer Dokumentation und Transparenz, und somit letztlich zu ausgereifteren Sicherheitspraktiken als bei örtlich konzentrierten Teams. Tatsächlich haben dezentral arbeitende Entwickler mit 23 % höherer Wahrscheinlichkeit einen guten Einblick in die Arbeit ihrer Kollegen und bewerten die Reife der Sicherheitspraktiken ihrer Organisation um 29 % höher als diejenigen, die in einem traditionellen Büroumfeld arbeiten.
Die Umfrage zeigt auch auf, dass verteilte Teams ihre Arbeit häufiger quantifizieren und dokumentieren als Teams vor Ort, und Mitarbeiter aus dem operativen Bereich werden hier gegenüber Kollegen in zentralen Teams über 2,5-mal so häufig rechtzeitig informiert, wenn die Entwickler ihre Unterstützung benötigen.
Auch wenn bei der Implementierung von DevOps bereits Fortschritte gemacht wurden, bleibt noch viel zu tun, um die Zusammenarbeit zwischen Sicherheits-, Entwickler- und Teams aus dem operativen Bereich zu optimieren.
Der vollständige Global Developer Report 2019: DevSecOps sowie der Blogbeitrag zeigen, was die Software-Profis als die größten Herausforderungen und Vorteile sehen, und wie Teams stimmig Software liefern und ihren Organisationen und Kunden einen Mehrwert bieten können.
Methodik
Vom 23. Januar 2019 bis 27. Februar 2019 hat GitLab 4.071 Software-Profis befragt. Die Fehlerquote beträgt 2 % (bei 23 Millionen Software-Profis und 95 %Konfidenzniveau).
Fachartikel

Windows 10: Mai-Update führt zu BitLocker-Wiederherstellungsschleife

Advanced NPM Supply-Chain Attack kombiniert Unicode-Steganografie mit Google Kalender als C2-Kanal

Was machen Hacker mit ihrem gestohlenen Geld? Die Antwort überrascht

Dateilose Attacke: PowerShell-Loader schleust Remcos RAT ein

Vorsicht, Bücherwurm! Diese iOS-App plaudert über Ihre Lesegewohnheiten
Studien

Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld

Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs

Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart

IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran

Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus
Whitepaper

TeleTrusT legt aktualisiertes Positionspapier „Cyber-Nation“ vor

Sechs entscheidende Tipps für den erfolgreichen Einsatz von cIAM-Lösungen

Wie die Datenverwaltung Wachstum und Compliance fördert

Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025

Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier
Hamsterrad-Rebell

Insider – die verdrängte Gefahr

Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken

Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen
