Der Kampf von DevSecOps: Erkenntnisse von der DevSecCon Singapur 2019
Laut Gartner entwickelt sich DevSecOps zu einem der heißesten Themen. Aber wie viele IT-Fachleute verstehen es? Nein, es geht hier nicht um DevOps selbst; es geht auch nicht darum, wie man von der traditionellen Wasserfall-Entwicklung zu einer agilen Entwicklung auf Scrum-Basis übergeht. Und es ist auch kein reines Sicherheitsthema. Wie unterscheidet sich also eine DevSecOps-Konferenz von den üblichen Sicherheits- und DevOps-Events?
Im Februar habe ich es herausgefunden. Ich habe an der DevSecCon in Singapur teilgenommen. Unter den Teilnehmern und Rednern befanden sich sowohl Sicherheits- als auch Entwicklungsexperten, es war also eine wirklich gute Mischung dieser beiden Lager. Ich möchte Ihnen drei Erkenntnisse aus den Sitzungen, an denen ich teilgenommen habe, mit auf den Weg geben (und auch einige ausgewählte Zitate von Entwicklern auf der Konferenz hinzufügen):
Wandel in der Entwicklungskultur
„Jeder Entwickler sollte an einer Sicherheitsschulung teilnehmen.“
„IT-Sicherheit ist die Verantwortung aller.“
Sie sagten auch, dass Sicherheit für Entwickler zwar im Allgemeinen keine Priorität habe, sie sich aber dennoch in die Sicherheitswelt einfügen müssten. Die Entwickler stellten mehrere Herausforderungen im Zusammenhang mit der Sicherung von Apps vor und untersuchten, wie sie Sicherheit in ihre Kultur oder ihren Stil integrieren können. Die allgemeine Stimmung war positiv, wenn es darum ging, Sicherheitsteams in ihre Projekte einzubinden. Jemand hat sogar vorgeschlagen: „Sicherheitsteams sollten so früh wie möglich an Kundenbesprechungen teilnehmen, damit sie nicht später noch einmal auf die Herausforderungen zurückkommen müssen.“
Wandel der Sicherheitskultur
„Wir Sicherheitsexperten sollten versuchen, Techniker zu sein und nicht nur mit dem Finger auf die Entwickler zeigen.“
„Ich habe das Gefühl, dass Sicherheitsteams nicht gut darin sind, Prozesse zu automatisieren. Sie neigen dazu, auf manuelle Prozesse zurückzugreifen.“
„Wir empfehlen, dass Sicherheitsteams zunächst eine Beziehung zu Entwicklungsteams aufbauen.“
Diese drei Kommentare legen nahe, dass Sicherheitsexperten Teil von Entwicklungsteams sein können und sollten. Ich würde sagen, dass der gemeinsame Kampf der Sicherheitsteams die andere Seite der Medaille war: Das Sicherheitspersonal möchte wissen, wie es DevOps-Projekte besser vertreten kann. Sie wissen, dass sie die Entwicklung nicht behindern sollten und dass sie auch einige der von DevOps verwendeten Toolchains oder Prozesse implementieren müssen. Aus diesem Grund wurde „Shift Left“ – die Idee, die auch bei der RSA-Konferenz SFO 2019 ein großes Thema zu sein schien – bei dieser Veranstaltung häufig erwähnt. Dies ist nicht nur notwendig, weil Sicherheitsexperten ihren Wert steigern möchten, sondern auch, weil sie darin die einzige Möglichkeit sehen, sich an das digitale Geschäftszeitalter anzupassen.
Talent
„Unternehmen neigen dazu, mehr Entwickler einzustellen und vergessen dabei, Sicherheitspersonal einzustellen. Daher wird die Skalierung von Sicherheitsteams zum Problem.“
„Die Hauptursache ist der Mangel an Talenten im Bereich der Anwendungssicherheit. Die meisten, die sich auf Stellen im Bereich App-Sicherheit bewerben, sind Leute aus dem Bereich Netzwerksicherheit.“
Ein weiteres hervorgehobenes Problem war der Mangel an Ressourcen und Talenten. Wie Sie diesen Kommentaren entnehmen können, sind Positionen im Bereich Anwendungssicherheit nicht leicht zu besetzen. Sicherheitsteams haben Probleme mit der Skalierung, während sich ihre Organisationen auf die Beschleunigung der Entwicklung konzentrieren, um Geschäftsanforderungen zu erfüllen. Natürlich sollten Toolchain und Automatisierung diese Lücke schließen, indem sie die Arbeit des Sicherheitsteams skalierbarer und schneller machen. Ich hatte das Gefühl, dass dies nur die erste Phase sein sollte. Auf lange Sicht sollten sowohl DevOps- als auch Sicherheitsjobs so weit vereinfacht werden, dass sowohl DevOps- als auch Sicherheitstalente beide Rollen übernehmen können.
***
Es ist nicht leicht, die Kultur in diesem Bereich zu ändern, aber jeder weiß, dass es notwendig ist. Es war interessant zu sehen, dass Sprecher sowohl aus Sicherheits- als auch aus Entwicklungsteams gemeinsame Themen, Probleme und Vorschläge hatten. Die gemeinsame Idee: Es geht darum, dass sich Entwickler und Sicherheitsleute zu einem Team mit gemeinsamen Zielen zusammenschließen. Die gute Nachricht ist, dass sich viele Toolchain-Anbieter und Lösungsanbieter jetzt auf diesen vereinfachten Ansatz konzentrieren. Es handelt sich um eine Art Demokratisierung von Softwareentwicklungstechnologien und Sicherheitslösungen. Wir bewegen uns also alle in diese Richtung.