STRATEGIE26. Juli 2023

Überfordert durch zu viele Tools? Digitale Resilienz mit einer DevSecOps-Plattformstrategie

Stephen Walters berichtet über DevSecOps
Stephen Walters, GitLab GitLab
Der europäische Finanzsektor bietet immer mehr digitale Dienstleistungen an. Aber DevSecOps hat sein volles Potenzial noch nicht ausgeschöpft – dies könnte in Zukunft zu einem Problem werden, da die Regulierungsbehörden bei Ausfällen von Cloud-Diensten aktiv werden.

Von Stephen Walters, Field CTO bei GitLab und Botschafter des DevOps Institut

Die Europäische Kommission hat daraus die Konsequenzen gezogen und die Messlatte für die digitale Resilienz höher gelegt. Unternehmen müssen nun sicherstellen, dass die IT während eines Ausfalls oder Angriffs weiterläuft, und müssen ihre Systeme regelmäßig testen, um Schwachstellen zu erkennen und die Ausfallsicherheit unter Beweis zu stellen. Dies hat die IT-Infrastrukturen hinter dem digitalen Geschäft in den Fokus gerückt – und damit auch DevSecOps.

Resilienz ist in guter Unternehmenskultur und Praxis verwurzelt

DevSecOps geht Hand in Hand mit der digitalen Transformation: Es ist eine Philosophie der schnellen und effektiven Softwarebereitstellung, die Entwickler, Operations, Sicherheit und das Unternehmen vereint. Aber es ist nicht alles gut.

Laut einer Umfrage teilen über die Hälfte der IT-Beschäftigten die Einschätzung, dass die DevSecOps-Implementierung ihres Arbeitgebers unzureichend ist. Dies ist wichtig, denn eine stabile Infrastruktur beruht auf einer guten DevSecOps-Kultur und sachgerechten Methoden.

Jüngste Untersuchungen von GitLab weisen auf eine Praxis hin, die sich negativ auf die Softwareentwicklung auswirkt: Die ausufernde Toolchain. Zwei Drittel der Befragten im GitLab-Report „Security Without Sacrifices“ gaben an, dass sie ihre Toolchains konsolidieren möchten. 28 Prozent der Befragten aus dem Bereich Sicherheit haben Schwierigkeiten, die Einhaltung von Vorschriften zu überwachen, weil die Pflege der Toolchains sehr zeitaufwändig ist, und 26 Prozent fällt es schwer, Erkenntnisse über alle Tools hinweg zu gewinnen.

Diese Tendenz ist problematisch, da sie zu Dysfunktionalität innerhalb des Teams führt: Die Mitglieder sind weder in der Lage, effektiv zu kommunizieren, noch können sie die Sicherheits- und regulatorischen Kontrollen während des gesamten Lebenszyklus der Software gewährleisten.

Diesen Sachverhalt kann man als “Toolchain-Steuer” bezeichnen – jedes zusätzliche Tool erhöht schließlich die Kosten. Die gängigste Maßnahme ist die Konsolidierung von Tools, aber das allein kann zu neuen, anderen Varianten der Steuer führen. Aus diesem Grund sollte ein Unternehmen seine DevSecOps-Strategie möglichst vereinfachen.

Autor Stephen Walters, GitLab

Stephen Walters, GitLab <q> GitLab</q>

Stephen Walters ist Ex­per­te in den Be­rei­chen Va­lue Stream Ma­nage­ment, Dev­Se­cOps, ITIL, SDLC und Agi­le bei GitLab (Website). Er sam­mel­te seit 1992 Ma­nage­ment- und Be­ra­tungs­er­fah­rung in al­len IT-Dis­zi­pli­nen und ver­fügt über Zer­ti­fi­zie­run­gen in Va­lue Stream Ma­nage­ment, De­v­Ops, SAFe, CMMI, ITIL, TO­GAF und Prin­ce2. Als „Am­bas­sa­dor“ für das De­v­Ops In­sti­tu­te und In­flu­en­cer beim Va­lue Stream Ma­nage­ment Con­sor­ti­um hält er Keyno­tes auf Konferenzen.

Die DevSecOps-Strategie vereinfachen

Bei einem genaueren Blick auf eine DevSecOps-Plattformstrategie fallen vier Dinge auf, die beachtet werden sollten.

Als erstes ist dies eine in sich stimmige Kultur der Softwareentwicklung, die auf einem kollaborativen Entwicklungsmodell basiert, das die Fähigkeiten der Teammitglieder optimal nutzt. Die Konsolidierung der Toolchain ist der erste Schritt, um dies zu erreichen. Durch die Verwendung eines einzigen Tools für gemeinsam genutzte Funktionen entfällt das Umschalten zwischen verschiedenen Kontexten, so dass jeder einen einheitlichen Überblick über den Stand des Projekts erhält. Durch die gemeinsame Nutzung der gleichen Tools können die einzelnen Mitarbeiter einchecken, Kommentare abgeben und Vorschläge machen, während das Projekt entwickelt wird.

Integration zwischen Tools und Compliance

Diese kollaborative, einheitliche Ansicht stellt Sicherheit und Überwachung in den Mittelpunkt der Entwicklung und gewährleistet, dass diese Aspekte den gesamten Lebenszyklus der Software durchlaufen. Die Konsolidierung stößt auf ein aufgeschlossenes Publikum: 69 Prozent der Befragten gaben gegenüber GitLab an, dass sie sich weniger Tools wünschen.

Der nächste wichtige Punkt ist die effektive Integration zwischen Tools und Compliance-Systemen. Die Integration wird durch einheitliche Prozesse und Workflows unterstützt, die toolunabhängig sind, sodass sie zwischen den DevSecOps-Phasen und den nachgelagerten Phasen im Software-Lebenszyklus fließen können.

Drittens erfassen standardisierte Prozesse Best Practices für die Erstellung, Bereitstellung und Überwachung, die sich an den Geschäftsergebnissen orientieren. Diese Prozesse als Workflows zu aktivieren, führt dazu, dass sie konsistent in der gesamten DevSecOps-Toolchain angewendet werden können.

Wenn es beispielsweise um die Sicherheit geht, können Konformitätskontrollen in jeden Schritt des Entwicklungs- und Software-Lebenszyklus integriert werden, statt sie jeweils aufzusetzen. So wird die Einhaltung der Vorschriften ein integraler Bestandteil jeder Softwareentwicklung.”

Und schließlich ist da noch die Automatisierung. Eine KI-Engine führt Arbeitsabläufe automatisch aus. Durch die Automatisierung sind weniger sich wiederholende, manuelle Tätigkeiten von der Entwicklung bis zur Bereitstellung nötig. Es kommt zu weniger Reibungsverlusten zwischen den Teams, weil die KI-Engine die Übergabe von Aufgaben und Projekten übernimmt. Die Automatisierung eignet sich ideal für das Testen, um beispielsweise Probleme, die entstehen, wenn zu viel zu spät getan wird, zu überwinden, indem Tests auf der Grundlage von Prozessen und Richtlinien ausgelöst werden.

DevSecOps muss mit zunehmender Digitalisierung seine Resilienz verbessern.

Es ist an der Zeit, die Toolchain mit einer plattformbasierten Strategie zu zähmen – zum Wohle des Unternehmens, seiner Kunden und der Aufsichtsbehörden.”

Die Standardisierung von Tools innerhalb von Segmenten – z. B. dem Source-Code-Management – birgt die Gefahr, dass Silos entstehen. Als Nächstes wird versucht, Silos zu integrieren, was aber zu wartungsintensiven, selbst entwickelten Toolchains führen kann, die kostspielig sind und Sicherheitsrisiken mit sich bringen.

Konsolidierung ist die Antwort – aber sie erfordert einen strategischen Ansatz: Eine DevSecOps-Plattform verfügt über eine vereinfachte und gestraffte Reihe von Tools mit integrierten Funktionen wie Planung, Entwicklung, Testen und Überwachung. Dies kann durch vor integrierte Funktionen für die Produktivität, Zusammenarbeit und Kommunikation zwischen den Teams erreicht werden.aj

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/155687

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert