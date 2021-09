Marktübersicht DevSecOps-Tools Gut gefüllter Werkzeugkasten Oliver Schonschek DevSecOps fordert veränderte Denkweisen, Prozesse und Techniken. Dabei steht die Frage nach der Sicherheit stets im Vordergrund. Tools erleichtern die Kommunikation und Zusammenarbeit im Team und helfen bei Prozessänderungen.

iX-tract DevSecOps zieht sich wie ein roter Faden entlang des gesamten Lebenszyklus von IT-Produkten.

Die Integration von Security in DevOps verlangt Veränderung in Kultur, Zusammenarbeit und Kommunikation der Entwicklungs-, Betriebs- und Securityteams.

Während der gesamten DevOps-Pipeline eingebundene Tools dienen vor allem dazu, Tests zu automatisieren und frühzeitig Warnhinweise zu geben, um Sicherheitsmängel zu erkennen und zu beheben.

Anwendungssicherheitstests (AST) existieren je nach Anwendungsfall in verschiedener Ausprägung wie statisch und dynamisch oder interaktiv zur Laufzeit, beziehen sich aber immer auf alle Entwicklungsstadien.

Sicherheit bezieht sich nicht nur auf das Endprodukt, sondern auch auf die Prozesse, die zur Entwicklung des Produkts einzuhalten sind“, so die EU-Agentur für Cybersicherheit ENISA. Wer nach IT-Sicherheitslücken sucht, sollte sich deshalb nicht auf die Schwachstellen in IT-Produkten selbst beschränken, sondern den gesamten Entwicklungsprozess betrachten. Doch nicht nur die Entwicklung ist betroffen. Die Forderung nach mehr Sicherheit in der IT betrifft den gesamten Produktlebenszyklus, wie der Bundesverband IT-Sicherheit e. V. (TeleTrusT) in seiner Handreichung „Security by Design“ darlegt (Link unter ix.de/zbug). In der Umsetzungsverantwortung stehen alle am Produkt beteiligten Unternehmensbereiche wie Produktmanagement, Entwicklung, Beschaffung, Fertigung, Vertrieb, Logistik, Service oder die IT-Sicherheits- und Datenschutzverantwortlichen. Im Idealfall sollten alle Bereiche in eine gemeinsame Kommunikation und Kooperation eingebunden sein.

Um IT-Produkte zu optimieren und zuverlässiger zu machen, setzen Unternehmen zunehmend auf DevOps. Entwicklungsteams (Dev) und IT-Betrieb (Ops) arbeiten eng zusammen, man standardisiert und automatisiert Prozesse. Eine gemeinsame Arbeitsumgebung und Kultur sowie eine bereichsübergreifende Kommunikation und Zusammenarbeit stehen im Mittelpunkt. Doch schnellere, teamübergreifend abgestimmte Entwicklung alleine reicht nicht, um komplexen Cyberattacken, möglichen hohen Folgeschäden von IT-Sicherheitsvorfällen und Verstößen gegen Compliancevorgaben wie die Datenschutz-Grundverordnung (DSGVO) zu begegnen.