Sonatype
21.03.2017, 11:55 Uhr

DevOps-Studie: Sicherheit frühzeitig einbinden

Eine neue DevOps-Studie von Sonatype offenbart eine sich ändernde Einstellung zur Sicherheit von Applikationen.
Sonatype hat die Ergebnisse der „2017 DevSecOps Community“-Umfrage bekanntgegeben.  2.292 IT-Experten nahmen an der im Februar 2017 durchgeführten Online-Umfrage teil. Die Untersuchung ergab, dass ausgereifte Entwicklungsorganisationen gewährleisten, dass Sicherheit automatisiert in ihre DevOps-Praktiken eingebunden ist, und zwar frühzeitig, überall und im richtigen Maßstab. Die Analyse der Antworten ergab außerdem, dass IT-Organisationen nach wie vor mit Sicherheitslücken zu kämpfen haben. Vergleicht man die Umfragewerte von Sonatype zwischen 2014 und 2017, so ist hier sogar ein Anstieg um nahezu 50 Prozent zu verzeichnen.

Die weltweite Einführung von DevOps bestätigen 67 Prozent der Befragten, die ihre DevOps-Praktiken als sehr ausgereift bezeichnen oder dabei sind, diese zu verbessern. Während traditionelle Entwicklungs- und operative Teams eine Verzögerung der Prozesse durch Security-Teams oder -Richtlinien sehen (47 Prozent), haben DevOps-Teams neue Wege entdeckt, wie sie die Sicherheit in der gleichen Geschwindigkeit integrieren, in der die Entwicklung voranschreitet. Nur 28 Prozent der bereits ausgereiften DevOps-Teams glauben, sie würden von Sicherheitsanforderungen ausgebremst.

Weitere wichtige Erkenntnisse aus der Umfrage sind::
  • Entwickler übernehmen mehr Verantwortung für das Thema Sicherheit. So gaben 24 Prozent aller Befragten an, dass Sicherheit ein Hauptanliegen sei, während innerhalb der ausgereiften DevOps-Organisationen dieser Anteil auf 38 Prozent steigt.
  • Im Vergleich zu 39 Prozent aller Umfrageteilnehmer haben bereits 58 Prozent der Befragten in ausgereiften DevOps-Teams die Sicherheit im Rahmen ihrer Continuous-Integration-(CI)-Praktiken automatisiert.
  • Analysen zur Applikationssicherheit in jeder Phase des Software-Delivery-Lifecycles (SDLC) führen 42 Prozent der Befragten in ausgereiften DevOps-Organisationen durch. Der Anteil aller Befragten liegt hier bei lediglich 27 Prozent.
  • 88 Prozent aller Umfrageteilnehmer gaben an, dass Sicherheit eines der wichtigsten Anliegen bei der Bereitstellung von Containern sei. Jedoch nutzen lediglich 53 Prozent Sicherheitslösungen, um diesem Problem beizukommen.
  • 35 Prozent der Unternehmen führen eine vollständige Software-Materialliste (Bill of Materials), um neue Open-Source-Sicherheitslücken schneller aufdecken zu können (z. B. Commons-Collection, Struts2).
  • 85 Prozent der Befragten, die sehr ausgereifte DevOps-Praktiken umsetzen, haben eine Form von Training für Applikationssicherheit durchlaufen, um sie für sichere Coding-Verfahren zu sensibilisieren. Unter den Befragten mit wenig ausgereiften DevOps-Praktiken erhielten 30 Prozent keine solche Ausbildung.
"Wie die diesjährigen Umfrageergebnisse belegen, sind Unternehmen überall dabei, Ihre Entwicklung von Wasserfall-nativen hin zu DevOps-nativen Tools und Prozessen zu transformieren," erklärt Wayne Jackson, CEO, Sonatype. "Auf dem Weg dorthin kommen sie mit einer einfachen Tatsache in Berührung: DevOps ist keine Entschuldigung für eine schlechte Anwendungssicherheit; vielmehr ist es eine Gelegenheit, die Anwendungssicherheit besser zu machen, als je zuvor zu tun."

Weitere Informationen finden Sie auf dieser Seite zum DevSecOps Community Survey. Dort steht der Report auch zum Download bereit. Zudem veranstaltet Sonatype am 5. April ein Webinar zu den Ergebnissen der Umfrage.
 


Das könnte Sie auch interessieren