In der heutigen Anwendungsökonomie steigt die Nachfrage nach Softwareentwicklung stetig. Software und Anwendungen sind in den Vordergrund gerückt, wo verpasste Fristen zu Umsatzeinbußen und mangelhafte Funktionalität zum Verlust von Kunden führen können. Immer mehr Unternehmen setzen auf DevOps, um ihrem Geschwindigkeitsbedarf gerecht zu werden und die zuvor getrennten Entwicklungs- und Betriebsteams zu vernetzen.
Gleichzeitig verleiht die ständige Flut an Meldungen über Sicherheitslücken in Software und anwendungsbezogene Datenschutzverletzungen DevSecOps mehr Bedeutung. DevSecOps integriert Sicherheit in die Softwareentwicklung und -tests, um schnellere, qualitativ bessere und sicherere Ergebnisse zu erzielen.
Traditionell war es die Aufgabe der Entwickler, die Funktionalität des Codes sicherzustellen. Diese Praxis wurde durch die frühere Trennung zwischen Entwicklungs-, Betriebs- und Sicherheitsteams verstärkt – solange die Anwendung termingerecht geliefert wurde und funktionierte, war ihre Arbeit getan. Anschließend oblag es dem Sicherheitsteam, die Sicherheit zu gewährleisten, und dem Betriebsteam, den reibungslosen Betrieb sicherzustellen.
Der Wandel hin zu DevOps hat jedoch zur Folge, dass Entwickler nun eine aktivere Rolle bei der Sicherstellung der Qualität und Sicherheit ihres Codes übernehmen müssen. Dies stellt Entwickler vor neue Herausforderungen, für die die Codesicherheit bestenfalls eine Nebensache war.
Die Schwächen der formalen Ausbildung
Der Wandel hin zu DevOps – und zunehmend zu DevSecOps – hat deutlich gemacht, dass sich die formale Ausbildung von IT- und Entwicklungsfachkräften nicht im Einklang mit den Unternehmenspraktiken weiterentwickelt hat. Eine aktuelle Studie, [in Auftrag gegeben von Veracode und DevOps.com](https://info.veracode.com/analyst-report-devsecops-global-skill-survey.htmlEine Studie ergab, dass zwar 65 % der DevOps-Experten DevOps-Kenntnisse für einen Einstieg in die IT als sehr wichtig erachten, drei Viertel der Befragten jedoch angaben, im Rahmen ihrer Ausbildung nicht die notwendigen Schulungen zu erhalten, um im Bereich DevSecOps erfolgreich zu sein.
Viele Informatikstudiengänge an Universitäten bieten derzeit keine praxisnahe Anleitung zur Behebung von Sicherheitslücken im Code – eine entscheidende Komponente der Rolle des neuen DevSecOps-Entwicklers. Obwohl fast 80 % der Befragten einen Bachelor- oder Masterabschluss besitzen, gaben 70 % an, dass ihre Sicherheitsausbildung nicht den Anforderungen ihrer aktuellen Position entspricht.
Es stellt sich die Frage, ob Universitäten neben dem derzeitigen theoretischen Schwerpunkt mehr praktische Inhalte in ihre Studiengänge integrieren sollten. Kurzfristig ist jedoch eine andere Lösung erforderlich.
Solange die Ausbildung nicht stärker darauf ausgerichtet ist, Entwicklern und Softwareingenieuren beizubringen, wie sie sichereren Code erstellen, liegt es an den Unternehmen, die DevOps einführen, ihre Entwickler in der Identifizierung und Behebung von Schwachstellen im Code weiterzubilden.
Weiterbildung Ihres Entwicklerteams
Meine Erfahrung in der Leitung von Entwicklungsteams zur Schließung der Sicherheitslücke hat gezeigt, dass es keine schnelle Lösung gibt. Neben den technischen Schulungsanforderungen wissen Entwicklerteamleiter, dass die Priorisierung von Sicherheit innerhalb der bestehenden Unternehmenskultur die größte Hürde darstellt.
Was können Entwicklerteamleiter also tun, um ihre Entwickler in der sicheren Programmierung weiterzubilden und negative Reaktionen zu vermeiden? Hier sind die drei Ansätze, die sich meiner Erfahrung nach als besonders effektiv erwiesen haben:
Schulungen von Drittanbietern
Ob Präsenzschulungen oder E-Learning – ein Drittel der Befragten nannte Schulungen von Drittanbietern als effektivsten Weg, neue Fähigkeiten zu erwerben. Leider hatten nur vier Prozent der Befragten diese Möglichkeit.
Präsenzschulungen sind zweifellos teuer, daher entscheiden sich viele Unternehmen für E-Learning. Es ist jedoch wichtig, dass Unternehmen, die in E-Learning investieren, Prozesse implementieren, die einen Mindest-ROI gewährleisten.
Für so wichtige Fähigkeiten wie sichere Programmierung sollten Unternehmen verpflichtende Kurse für neue Mitarbeiter einführen, um ein Mindestmaß an Kompetenz im gesamten Team festzulegen. Die Festlegung jährlicher Ziele stellt sicher, dass die Mitarbeiter bestimmte Schulungen absolvieren.
Strategische Codeanalyse in die DevOps-Pipeline integrieren
Der beste Weg, um sicherzustellen, dass Entwickler sicheren Code schreiben, ist, ihnen kontinuierliches Feedback zu ihrem Code zu geben – genau wie die rote Wellenlinie in Microsoft Word uns seit über einem Jahrzehnt hilft, Tippfehler zu vermeiden.
Die Integration statischer Codeanalyse in die DevOps-Pipeline ermöglicht dieses kontinuierliche Feedback. So können Entwickler Schwachstellen im Code direkt beheben, anstatt nach Abschluss der Arbeiten lange Sicherheitsberichte erstellen zu müssen, die sie anschließend manuell korrigieren müssen. Dies hilft Entwicklern nicht nur, Fehler frühzeitig zu erkennen und zu beheben, sondern erspart Entwicklungsmanagern auch die Entscheidung, ob sie eine Frist verpassen oder eine unsichere Anwendung oder ein Update veröffentlichen sollen.
Sicherheitsbeauftragte einsetzen
Nicht jeder Entwickler muss ein Sicherheitsexperte sein. Er benötigt jedoch Zugang zu einer Person mit Sicherheitskenntnissen und Verständnis für die Arbeitsweise von Entwicklern. Ein kleines Team von Sicherheitsexperten kann seine Kompetenzen nutzen, indem es ausgewählte Entwickler in den Grundlagen sicherer Programmierung schult und so Sicherheitsbeauftragte hervorbringt, die das Sicherheitsbewusstsein im gesamten Team stärken.
In diesem Modell wendet sich das Team regelmäßig an seinen Sicherheitsbeauftragten, um Rat zu sicherem Design und sicherer Programmierung zu erhalten. Sicherheitsbeauftragte tragen dazu bei, dass ihre Scrum-Teams der Sicherheit im Softwareentwicklungszyklus (SDLC) Priorität einräumen und unterstützen sie bei besonders komplexen Sicherheitsproblemen. Sie stellen sicher, dass keine Schwachstelle aufgrund fehlender Kenntnisse ungelöst bleibt und dass Entwickler Sicherheitsberatung von Kollegen erhalten, die ihre Sprache sprechen und Verständnis für ihre Herausforderungen haben.
Jetzt handeln!
Da immer mehr Unternehmen DevOps- und DevSecOps-Praktiken einführen, werden traditionelle Sicherheitsprozesse als unzureichend gelten. Angesichts der Bedrohung durch Cyberkriminelle, die anfällige Anwendungen und Software ausnutzen, müssen Unternehmen jetzt handeln und ihre Entwickler weiterbilden, um den neuen Anforderungen dieses Wandels in den Entwicklungspraktiken gerecht zu werden. Unabhängig vom gewählten Ansatz zur Sicherheitsweiterbildung besteht der Bedarf.
Verfasst von: Maria Loughlin
