Sonatype
11.03.2019, 11:25 Uhr
DevSecOps Community-Umfrage 2019 veröffentlicht
5.558 IT-Experten haben Aufschluss über die Merkmale hochleistungsfähiger DevSecOps-Verfahren gegeben.
(Quelle: sonatype.com)
Sonatype hat die Ergebnisse seiner sechsten jährlichen DevSecOps Community-Umfrage veröffentlicht. Mit 5.558 IT-Experten ist es die bislang größte durchgeführte DevOps-Studie. Die in Zusammenarbeit mit CloudBees, Carnegie Mellon's Software Engineering Institute, Signal Sciences, 9th Bit und Twistlock entwickelte Umfrage offenbart ein neues Gesamtbild dessen, wie Unternehmen mit hochleistungsfähigen DevSecOps-Programmen angesichts der zunehmenden Attacken böswilliger Angreifer dastehen.
Im Zuge der rasanten Weiterentwicklung von DevOps-Verfahren automatisieren Spitzenunternehmen die Sicherheit früher im Entwicklungszyklus und handhaben Software Supply Chains als wesentliches Unterscheidungsmerkmal gegenüber ihren Mitbewerbern. Die Umfrageergebnisse haben gezeigt, dass Organisationen mit hochleistungsfähigen DevSecOps-Programmen anderen Unternehmen in vielen Bereichen bei weitem überlegen sind.
Dazu gehören die folgenden Einflussfaktoren:
- DevOps Automatisierung – Bei erstklassigen DevSecOps-Praktiken ist die Wahrscheinlichkeit, dass sie vollständig integrierte und automatisierte Sicherheitsverfahren innerhalb der gesamten DevOps-Pipeline einsetzen, um 700 Prozent höher. Sie weisen darüber hinaus vermehrte Feedback-Schleifen auf, die es ermöglichen, Sicherheitsprobleme direkt aus den Tools heraus zu identifizieren.
- Open-Source-Kontrollen – 62 Prozent der Befragten mit hervorragenden DevSecOps-Programmen verfügen über eine Open-Source-Governance-Richtlinie, die mithilfe der Automatisierung eingehalten wird, im Vergleich zu lediglich 25 Prozent der Befragten ohne DevOps-Praktiken.
- Container-Kontrollen – 51 Prozent der Befragten mit hochleistungsfähigen Verfahren gaben an, dass sie automatisierte Sicherheitsprodukte einsetzen, um Schwachstellen in Containern zu erkennen, im Gegensatz zu nur 16 Prozent der Befragten ohne DevSecOps.
- Schulungen – Unternehmen mit hervorragenden DevSecOps-Praktiken bieten Entwicklern dreimal häufiger Schulungen zur Anwendungssicherheit an, als Unternehmen, die keine DevOps-Verfahren einsetzen.
- Einsatzbereitschaft – 81 Prozent derjenigen, die erstklassige Verfahren einsetzen, verfügen über einen Reaktionsplan zur Cybersicherheit, im Vergleich zu 62 Prozent derjenigen, die keine DevOps-Verfahren nutzen.
"47 Prozent der von uns befragten Unternehmen gehen mehrmals pro Woche in Produktion, während die Geschwindigkeit ihrer Sicherheitsverfahren ebenfalls zunimmt", sagt Derek Weeks, Vice President und DevOps Advocate von Sonatype. "Die DevSecOps-Community hat uns gezeigt, dass Spitzenunternehmen deutlich weniger manuelle Arbeit verrichten, Sicherheit nahtlos in die Welt ihrer Entwickler integrieren und besser auf die Beseitigung von Sicherheitslücken – wenn sie auftreten – vorbereitet sind, als diejenigen die keine DevOps-Verfahren im Einsatz haben."
Weitere wichtige Erkenntnisse aus der größten DevOps-Umfrage:
- 24 Prozent aller Befragten vermuteten oder bestätigten eine Sicherheitslücke in Bezug auf Open Source-Komponenten. Dies bedeutet eine Steigerung um 71 Prozent, seit "Heartbleed" vor 5 Jahren Schlagzeilen machte.
- 50 Prozent derjenigen mit erstklassigen DevOps-Programmen erstellen eine vollständige Software-Stückliste, die regelmäßig aktualisiert wird, während dieser Anteil bei denjenigen, die keine DevOps-Verfahren anwenden, lediglich bei 19 Prozent liegt.
- Entwickler sind nach wie vor der Meinung, dass Sicherheit wichtig ist, sie diese jedoch nicht priorisieren können. Dies ist das dritte Jahr in Folge, in dem 48 Prozent der Befragten eingestanden haben, dass Entwickler das Gefühl haben, dass sie keine Zeit dafür haben.
- 50 Prozent der Befragten, die eine Cloud-Infrastruktur nutzen, gaben an, sich beim Schutz ihrer Cloud lediglich auf den Dienstanbieter zu verlassen.
- 46 Prozent der Unternehmen ohne DevOps-Verfahren verfügen nicht über verschlüsselte Anmeldeinformationen auf Anwendungsebene. Im Vergleich dazu verschlüsseln 75 Prozent der Unternehmen mit erstklassigen DevSecOps-Verfahren ihre Anmeldeinformationen.
Weitere Informationen zu den Umfrageerbebnissen finden Sie im Blog von Sonatype.
