DevOps-Lebenszyklus: Compliance-as-a-Code für Finanzunternehmen

DevOps-Lebenszyklus: Compliance-as-a-Code kommt Finanzunternehmen zugute — Cindy Blake ist Senior Security Evangelist bei GitLabGitLab

Die 2017 von der BaFin erlassene „Bankaufsichtliche Anforderungen an die IT“ (BAIT) macht deutlich, wie komplex die Thematik rund um IT-Sicherheit, Datensicherung und Anwendungsentwicklung ist. Gerade auch im Bereich der DevOps. Dabei gilt es jedoch gleichzeitig, innovative Produkte möglichst schnell in den Markt zu bringen. Agile Entwicklungstools und -prozesse sind dabei ein Segen – wären da nicht die vielen Compliance-Vorschriften, die beachtet werden müssen.

von Cindy Blake, Senior Security Evangelist bei GitLab

In Bezug auf Programmfehler gibt es in der Software-Entwicklung schon länger einen “Shift-Left”: Das heißt, dass Fehler frühzeitig im Software-Bereitstellungsprozess erkannt und verhindert werden sollen. Nun gibt es diesen “Shift-Left” auch für die Einhaltung gesetzlicher und selbst auferlegter Vorschriften.

Durch die möglichst frühe Integration der Compliance-Anforderungen in den Entwicklungs-Workflow können Entwicklungsteams Zeit sparen und gleichzeitig sicheren, risikoarmen Code erstellen.”

Das ist insbesondere im Finanzsektor wichtig, um hohen internen Standards und vor allem gesetzlicher Regulatorik zu genügen.

Was ist Compliance-as-a-Code?

Compliance-as-Code bedeutet, Compliance-Anforderungen in einer menschen- und maschinenlesbaren Sprache zu definieren. So können Konfigurationen dann sogar automatisch in einer regulierten IT-Umgebung bereitgestellt, getestet, überwacht und dokumentiert werden. Compliance-as-Code-Methoden stellen sicher, dass die korrekten regulatorischen oder unternehmensinternen Compliance-Anforderungen auf dem Weg zur Produktion ohne weiteres Zutun mit Zero-Touch erfüllt werden. Dies baut also Compliance sowohl in der Entwicklung als auch im Betrieb auf.

Diese Art der reibungsarmen Umsetzung und Einhaltung von Compliance ist ein zentraler und wichtiger Ansatz für große Organisationen – insbesondere solche, die einer komplexen Regulierung unterliegen. Durch die Integration von Compliance in den DevOps-Lebenszyklus ist es möglich, den Workflow zu rationalisieren und wertvolle Entwicklerzeit in Bezug auf Überprüfung und Test einzusparen.

Die Implementierung erfordert Zusammenarbeit und Transparenz

Damit das Ganze von Erfolg gekrönt ist, müssen Compliance-Richtlinien als Code-Richtlinien im Vorfeld definiert werden. Hierzu müssen die Verantwortlichen für Management, Compliance, interne Revision, PMO und Informationssicherheit zusammenarbeiten. Sie müssen Regeln definieren und Workflows steuern. Das Management muss auch verstehen, wie mit operationellen und anderen Risiken umgegangen wird.

Autorin Cindy Blake, GitLab

Cindy Blake ist Senior Security Evangelist bei GitLab. CV stellt das Unternehmen nur auf LinkedIn bereit.

Wie nun z.B. eine Bank Compliance mit Compliance-as-Code -Richtlinien implementiert, hängt von der Struktur der jeweiligen Teams ab. Grundsätzlich aber ist Transparenz unabdingbar. Um sicherzustellen, dass Informationen gemeinsam genutzt und Entscheidungen gemeinsam getroffen werden, sollte folgendes festgelegt werden:

Peer Reviews: Die Person, die den Code schreibt, sollte nicht die Person sein, die den Code freigibt. Damit wird sichergestellt, dass keine Änderungen vorgenommen werden, ohne dass mindestens eine andere Person diese Änderung überprüft. Um die Qualität der Reviews zu gewährleisten, können die Verantwortlichen für die Code-Reviews nach dem Zufallsprinzip ausgewählt werden.

Sicherheitstests für statische Anwendungen: Bei jeder Code-Änderung sollten statische (oder White-Box-) Tests durchgeführt werden.

Überprüfungen für Code mit hohem Risiko: Für Code, den das Managementteam als risikoreich einstuft (z. B. Sicherheitscode), sollten Änderungen von einem Sachverständigen überprüft werden.

Geregelte Zugriffskontrollen: Das Management sollte stets den Zugriff im Auge behalten: Einerseits, damit Änderungen nicht von einem einzigen Entwickler vorgenommen werden können und andererseits, damit jede Änderung den kompletten Workflow durchläuft und von jedem überprüft werden kann, der Zugriff auf das Dashboard hat.

Verbesserung der Technologie durch Kultur

Technologie und Prozesse funktionieren nur, wenn die Kultur der Teams auf das jeweilige Ziel ausgerichtet ist – und Kultur beginnt an der Spitze. Teamleiter sollten eine sicherheitsorientierte Mentalität und Aufgeschlossenheit hinsichtlich kollaborativer Änderungen fördern und vorleben. Für manch einen mag das eine neue Denkweise sein, doch hilft diese Kultur den Teams, den Shift-Left-Trend zu verinnerlichen. Und letztlich spart dies allen Beteiligten Zeit und das Geschäftsrisiko wird reduziert.

Über GitLab

GitLab ist eine Anwendung, die für alle Phasen des DevOps-Lebenszyklus entwickelt wurde und mit der Produkt-, Entwicklungs-, QA- und Sicherheits-Teams sowie Teams aus dem operativen Bereich gleichzeitig am selben Projekt arbeiten können sollen. GitLab biete einen gemeinsamen Datenspeicher, eine einheitliche Benutzeroberfläche und ein gemeinsames Berechtigungsmodell über den gesamten Lebenszyklus von DevOps. Damit lasse sich die Zykluszeit deutlich verkürzen und das erlaube Entwicklern, sich auf die schnelle Entwicklung hochwertiger Software zu konzentrieren. GitLab basiere auf quelloffener Software und nutzt die Beiträge von Tausenden von Entwicklern aus der Community sowie Millionen von Anwendern, um neue DevOps-Innovationen zu entwickeln.

Compliance und Open Source

Im Jahr 2015 stellte die Linux Foundation fest, dass mehr als 60% der Unternehmen Produkte auf Basis von Open-Source-Software entwickeln. Doch über die Hälfte dieser Unternehmen hat keine formalen Verfahren implementiert, um sicherzustellen, dass ihre Software auch mit den Open-Source-Lizenzen und Vorschriften übereinstimmt.”

Unternehmen sollten deshalb ein Compliance Programm für Free-and-Open-Source-Software-(FOSS) entwickeln, um nicht nur Urheberrechtshinweise und Lizenzverpflichtungen einzuhalten, sondern auch die Firmen-IP und den Quellcode von Drittanbietern vor Offenlegung zu schützen.

Compliance-as-a-Code bietet Vorteile für die gesamte Organisation

Vom Entwickler bis zum externen Auditor profitieren alle Beteiligten, wenn die Compliance von Anfang an in den Code integriert wird. Zu diesen Vorteilen gehören:

Zeitersparnis: Teams werden weniger Zeit damit verbringen, Code-Korrekturen hin und her zu schicken.

Compliance-Transparenz: Das Management wird verstehen, wo und wie die eigene Software die Compliance-Anforderungen einhält.

Routineberichte optimieren die Auditierung: Berichte während des gesamten DevOps-Lebenszyklus liefern Dokumentation und Nachweis, mit deren Hilfe das Management alle behördlichen Prüfungsverfahren nachverfolgen und rationalisieren kann.

Fazit

Deutsche Banken haben sich in der Vergangenheit schwergetan, ihre Prozesse durchgehend zu digitalisieren. Die sehr strenge Regulierung im Bankensektor ist sicher ein Hemmschuh in dieser Entwicklung, doch der DevOps-Ansatz bietet neue Möglichkeiten, Produkte schneller in den Markt zu bringen wie z.B. bei Online-Services und Investment Banking. Mit Compliance-as-a Code Methoden wird Compliance integraler Bestandteil von Entwicklung und Betrieb der Software.Cindy Blake, GitLab

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/100688