Share
Beitragsbild zu Dritter jährlicher GitLab Global Developer Survey zeigt Kluft zwischen Entwickler- und Sicherheitsteams

Dritter jährlicher GitLab Global Developer Survey zeigt Kluft zwischen Entwickler- und Sicherheitsteams

Teams mit ausgereiften DevOps-Praktiken erkennen Schwachstellen mit dreifacher Wahrscheinlichkeit früher + GitLab hat gestern Abend die Ergebnisse seiner dritten, jährlich stattfindenden Entwicklerumfrage veröffentlicht. Sie hebt die klaren Vorteile aber auch die kritischen Herausforderungen der DevOps-Methodik hervor. Wenn DevOps richtig umgesetzt wird, kann dies die Sicherheit deutlich verbessern, eine stetige Implementierung ermöglichen und Entwickler, Sicherheitsexperten und das Operations-Team näher zusammenbringen. Die Umfrage unter mehr als 4.000 Befragten ergab, dass Sicherheitsteams als Teil einer guten DevOps-Praxis dreimal häufiger Fehler bereits vor der Code-Zusammenführung entdecken. Außerdem testen sie 90 % häufiger einen Anteil zwischen 91 und 100 % des Codes gegenüber Organisationen mit DevOps im Frühstadium. Fast die Hälfte aller Befragten praktizierte zumindest in einem Teilen ihrer Organisationen Continuous Deployment. Trotzdem bewertete nur etwa ein Drittel der Befragten die DevOps-Anstrengungen ihrer Organisation tatsächlich als „gut“.

„Der diesjährige Global Developer Survey erweitert die Betrachtung von Kultur, Workflow und Tools und umfasst nun auch Betriebs- und Sicherheitsteams, um eine umfassende Bewertung des gesamten Softwareentwicklungs-Lebenszyklus zu ermöglichen“, erklärt Sid Sijbrandij, CEO und Mitbegründer von GitLab. „Die große Erkenntnis dieser Umfrage ist, dass Early Adopters starker DevOps-Modelle von größerer Sicherheit und einfacheren Innovationsmöglichkeiten profitieren. Allerdings bremsen vorhandene Hemmnisse die Entwickler- und Sicherheitsteams beim Erreichen echter DevSecOps immer noch aus. Die Teams benötigen eine Gesamtlösung, die für eine optimale Implementierung Einblick in beide Seiten des Prozesses bietet.“

Erhebliche Sicherheitshemmnisse bleiben

Alle Software-Profis erkennen die Notwendigkeit, dass Sicherheit in den Entwicklungs-Lebenszyklus integriert werden muss, aber die Umfrage zeigt, dass die traditionellen Reibungsverluste zwischen Sicherheits- und Entwicklungsteams noch immer bestehen. Während 69 % der Entwickler sagten, dass von ihnen erwartet wird, dass sie sicheren Code schreiben, gab fast die Hälfte der befragten Sicherheitsprofis (49 %) an, dass sie die Entwickler nur schwer dazu bringen können, die Behebung von Schwachstellen zu priorisieren. Außerdem sind 68 % der Sicherheitsexperten der Meinung, dass nur weniger als die Hälfte der Entwickler in der Lage ist, Sicherheitsschwachstellen später im Lebenszyklus zu erkennen. Ungefähr die Hälfte der Sicherheitsexperten gab an, Fehler am häufigsten erst dann zu finden, wenn der Code in einer Testumgebung bereits zusammengeführt wurde.

„Unsere Untersuchung zeigt uns, dass die meisten Entwickler die Gefahren von Sicherheitslücken durchaus kennen und ihre Sicherheitsfunktionen drastisch verbessern möchten. Doch leider unterstützen die Organisationen die Priorisierung der Erstellung von sicherem Code noch viel zu wenig. Zum Beispiel fehlen oft Schulungen zu sicherer Codierung sowie die Implementierung automatisierter Scan- und Testwerkzeuge, womit man diese Situation verändern könnte“, so Colin Fletcher, Führungskraft im Bereich Market Research and Customer Insights bei GitLab

Ausgereifte und unreife DevOps-Modelle

GitLab hat aber auch festgestellt, dass die Akzeptanz von DevOps insgesamt auf dem Vormarsch ist, und diejenigen Teams, die erfolgreich ein ausgereiftes DevOps-Modell implementiert haben, erhebliche Verbesserungen in ihrem Workflow feststellen. So fühlen sich Entwickler, die im Unternehmen mit „unreifen“ DevOps-Modellen arbeiten, durch deren Abläufe behindert, während diejenigen, die „ausgereifte“ Modelle nutzen, folgende Verbesserungen bemerken:

  • Die Wahrscheinlichkeit, dass sich die Entwickler innovativ fühlen, ist fast 1,5-mal so hoch.
  • Es ist dreimal wahrscheinlicher, dass die Entwickler Sicherheitsschwachstellen früher in der Pipeline entdecken.

Auf der anderen Seite führt eine sehr schlechte DevOps-Implementierung meist hierzu:

  • Für die betroffenen Unternehmen ist es 2,5-mal so wahrscheinlich, dass während der Planungsphase viele Verzögerungen auftreten.
  • Sie stellen 2,6-mal so häufig bürokratische Hürden fest, welche die Behebung von Schwachstellen verlangsamen.

Investitionen in CI/CD auf dem Vormarsch

Continuous Delivery – ein Eckpfeiler von DevOps – wird von Entwicklern als entscheidend angesehen. Von den Befragten gaben 43 % an, dass ihre Unternehmen bereits kontinuierliche Bereitstellung nutzen (d. h. On-Demand-Bereitstellung und/oder mehrere Implementierungen pro Tag), und 41 % erklärten, dass Implementierungen zwischen einmal täglich und einmal im Monat erfolgen.
Fast zwei Drittel der Befragten wollen 2019 in die Infrastruktur investieren, um kontinuierliche Integration, Implementierung und Bereitstellung zu fördern.

Dezentrale Teams übertreffen Teams vor Ort

Dezentrales Arbeiten führt oft zu mehr Zusammenarbeit, besserer Dokumentation und Transparenz, und somit letztlich zu ausgereifteren Sicherheitspraktiken als bei örtlich konzentrierten Teams. Tatsächlich haben dezentral arbeitende Entwickler mit 23 % höherer Wahrscheinlichkeit einen guten Einblick in die Arbeit ihrer Kollegen und bewerten die Reife der Sicherheitspraktiken ihrer Organisation um 29 % höher als diejenigen, die in einem traditionellen Büroumfeld arbeiten.

Die Umfrage zeigt auch auf, dass verteilte Teams ihre Arbeit häufiger quantifizieren und dokumentieren als Teams vor Ort, und Mitarbeiter aus dem operativen Bereich werden hier gegenüber Kollegen in zentralen Teams über 2,5-mal so häufig rechtzeitig informiert, wenn die Entwickler ihre Unterstützung benötigen.
Auch wenn bei der Implementierung von DevOps bereits Fortschritte gemacht wurden, bleibt noch viel zu tun, um die Zusammenarbeit zwischen Sicherheits-, Entwickler- und Teams aus dem operativen Bereich zu optimieren.

Der vollständige Global Developer Report 2019: DevSecOps sowie der Blogbeitrag zeigen, was die Software-Profis als die größten Herausforderungen und Vorteile sehen, und wie Teams stimmig Software liefern und ihren Organisationen und Kunden einen Mehrwert bieten können.

Methodik
Vom 23. Januar 2019 bis 27. Februar 2019 hat GitLab 4.071 Software-Profis befragt. Die Fehlerquote beträgt 2 % (bei 23 Millionen Software-Profis und 95 %Konfidenzniveau).

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “So sichern Unternehmen ihre MFA-Workflows gegen die neuesten Cyberangriffe”

So sichern Unternehmen ihre MFA-Workflows gegen die neuesten Cyberangriffe

Featured image for “Eine Festung im Datenmeer: Cloud-Immutabilität als Schild gegen Ransomware-Bedrohungen”

Eine Festung im Datenmeer: Cloud-Immutabilität als Schild gegen Ransomware-Bedrohungen

Featured image for “Hohe Wirtschaftlichkeit dank Automatisierung und Künstlicher Intelligenz”

Hohe Wirtschaftlichkeit dank Automatisierung und Künstlicher Intelligenz

Featured image for “Sechs Gründe für den Einsatz einer Firewall im Unternehmen”

Sechs Gründe für den Einsatz einer Firewall im Unternehmen

Featured image for “Passwort-Manager für MSP: Fünf wichtige Funktionen”

Passwort-Manager für MSP: Fünf wichtige Funktionen

Studien

Featured image for “Neue Trellix-Studie deckt auf: 63 Prozent der weltweiten CISOs nach Cyber-Attacke erneut betroffen”

Neue Trellix-Studie deckt auf: 63 Prozent der weltweiten CISOs nach Cyber-Attacke erneut betroffen

Featured image for “Studie: Fehlende Rechtssicherheit für Big Data und KI”

Studie: Fehlende Rechtssicherheit für Big Data und KI

Featured image for “Accenture-Umfrage: CEOs sehen ihre Unternehmen nicht gewappnet gegen Cyberangriffe”

Accenture-Umfrage: CEOs sehen ihre Unternehmen nicht gewappnet gegen Cyberangriffe

Featured image for “Neue ISACA-Studie: Geschäfts- und IT-Fachexperten besorgt über die Verwendung von generativer KI durch bösartige Akteure”

Neue ISACA-Studie: Geschäfts- und IT-Fachexperten besorgt über die Verwendung von generativer KI durch bösartige Akteure

Featured image for “Mehr als 50% der Unternehmen nutzt „archaische“ Excel-Tabellen für SAP-Änderungsmanagement – trotz SAPs Einstieg in generative KI”

Mehr als 50% der Unternehmen nutzt „archaische“ Excel-Tabellen für SAP-Änderungsmanagement – trotz SAPs Einstieg in generative KI

Whitepaper

Featured image for “Trellix stellt Kooperation von Cyber-Kriminellen und staatlichen Akteuren fest”

Trellix stellt Kooperation von Cyber-Kriminellen und staatlichen Akteuren fest

Featured image for “Unternehmensidentität für das Cloud-Zeitalter”

Unternehmensidentität für das Cloud-Zeitalter

Featured image for “Forrester Report 2024: Daten & Analysen”

Forrester Report 2024: Daten & Analysen

Featured image for “Geopolitische Unruhen: Deutschland mit am stärksten von DDoS-Angriffen betroffen”

Geopolitische Unruhen: Deutschland mit am stärksten von DDoS-Angriffen betroffen

Featured image for “Die Lage der IT-Sicherheit in Deutschland 2023”

Die Lage der IT-Sicherheit in Deutschland 2023

Unter4Ohren

Featured image for “Ja, es gibt sie!! Eine Lösung zur Abwehr von Ransomware!”

Ja, es gibt sie!! Eine Lösung zur Abwehr von Ransomware!

Featured image for “Unified-Endpoint Management und Mobile Threat Defense – die perfekte Ergänzung”

Unified-Endpoint Management und Mobile Threat Defense – die perfekte Ergänzung

Featured image for “Wie macht man SAP-Entwickler glücklich?”

Wie macht man SAP-Entwickler glücklich?

Featured image for “EZB Cyber Resilience Stress Test 2024: Wie resilient ist das europäische Bankensystem?”

EZB Cyber Resilience Stress Test 2024: Wie resilient ist das europäische Bankensystem?

Featured image for “SAP RFC-Bausteine richtig absichern”

SAP RFC-Bausteine richtig absichern