Kluft zwischen Entwickler- und Sicherheitsteams

 

Bild von Gerd Altmann auf Pixabay

Gitlab hat die Ergebnisse seiner dritten, jährlich stattfindenden Entwicklerumfrage veröffentlicht. Sie hebt die klaren Vorteile aber auch die kritischen Herausforderungen der DevOps-Methodik hervor. Wenn DevOps richtig umgesetzt wird, kann dies die Sicherheit deutlich verbessern, eine stetige Implementierung ermöglichen und Entwickler, Sicherheitsexperten und das Operations-Team näher zusammenbringen. Die Umfrage unter mehr als 4.000 Befragten ergab, dass Sicherheitsteams als Teil einer guten DevOps-Praxis dreimal häufiger Fehler bereits vor der Code-Zusammenführung entdecken. Außerdem testen sie 90 % häufiger einen Anteil zwischen 91 und 100 % des Codes gegenüber Organisationen mit DevOps im Frühstadium. Fast die Hälfte aller Befragten praktizierte zumindest in einem Teilen ihrer Organisationen Continuous-Deployment. Trotzdem bewertete nur etwa ein Drittel der Befragten die DevOps-Anstrengungen ihrer Organisation tatsächlich als „gut“.

„Der diesjährige Global Developer Survey erweitert die Betrachtung von Kultur, Workflow und Tools und umfasst nun auch Betriebs- und Sicherheitsteams, um eine umfassende Bewertung des gesamten Softwareentwicklungs-Lebenszyklus zu ermöglichen“, erklärt Sid Sijbrandij, CEO und Mitbegründer von Gitlab. „Die große Erkenntnis dieser Umfrage ist, dass Early-Adopters starker DevOps-Modelle von größerer Sicherheit und einfacheren Innovationsmöglichkeiten profitieren. Allerdings bremsen vorhandene Hemmnisse die Entwickler- und Sicherheitsteams beim Erreichen echter DevSecOps immer noch aus. Die Teams benötigen eine Gesamtlösung, die für eine optimale Implementierung Einblick in beide Seiten des Prozesses bietet.“

 

Erhebliche Sicherheitshemmnisse bleiben

Alle Software-Profis erkennen die Notwendigkeit, dass Sicherheit in den Entwicklungs-Lebenszyklus integriert werden muss, aber die Umfrage zeigt, dass die traditionellen Reibungsverluste zwischen Sicherheits- und Entwicklungsteams noch immer bestehen. Während 69 % der Entwickler sagten, dass von ihnen erwartet wird, dass sie sicheren Code schreiben, gab fast die Hälfte der befragten Sicherheitsprofis (49 %) an, dass sie die Entwickler nur schwer dazu bringen können, die Behebung von Schwachstellen zu priorisieren. Außerdem sind 68 % der Sicherheitsexperten der Meinung, dass nur weniger als die Hälfte der Entwickler in der Lage ist, Sicherheitsschwachstellen später im Lebenszyklus zu erkennen. Ungefähr die Hälfte der Sicherheitsexperten gab an, Fehler am häufigsten erst dann zu finden, wenn der Code in einer Testumgebung bereits zusammengeführt wurde.

„Unsere Untersuchung zeigt uns, dass die meisten Entwickler die Gefahren von Sicherheitslücken durchaus kennen und ihre Sicherheitsfunktionen drastisch verbessern möchten. Doch leider unterstützen die Organisationen die Priorisierung der Erstellung von sicherem Code noch viel zu wenig. Zum Beispiel fehlen oft Schulungen zu sicherer Codierung sowie die Implementierung automatisierter Scan- und Testwerkzeuge, womit man diese Situation verändern könnte“, so Colin Fletcher, Führungskraft im Bereich Market Research and Customer Insights bei Gitlab

 

Ausgereifte und unreife DevOps-Modelle

GitLab hat aber auch festgestellt, dass die Akzeptanz von DevOps insgesamt auf dem Vormarsch ist, und diejenigen Teams, die erfolgreich ein ausgereiftes DevOps-Modell implementiert haben, erhebliche Verbesserungen in ihrem Workflow feststellen. So fühlen sich Entwickler, die im Unternehmen mit „unreifen“ DevOps-Modellen arbeiten, durch deren Abläufe behindert, während diejenigen, die „ausgereifte“ Modelle nutzen, folgende Verbesserungen bemerken:

  • Die Wahrscheinlichkeit, dass sich die Entwickler innovativ fühlen, ist fast 1,5-mal so hoch.
  • Es ist dreimal wahrscheinlicher, dass die Entwickler Sicherheitsschwachstellen früher in der Pipeline entdecken.

Auf der anderen Seite führt eine sehr schlechte DevOps-Implementierung meist hierzu:

  • Für die betroffenen Unternehmen ist es 2,5-mal so wahrscheinlich, dass während der Planungsphase viele Verzögerungen auftreten.
  • Sie stellen 2,6-mal so häufig bürokratische Hürden fest, welche die Behebung von Schwachstellen verlangsamen.

 

Investitionen in CI/CD auf dem Vormarsch

Continuous-Delivery – ein Eckpfeiler von DevOps – wird von Entwicklern als entscheidend angesehen. Von den Befragten gaben 43 % an, dass ihre Unternehmen bereits kontinuierliche Bereitstellung nutzen (d. h. On-Demand-Bereitstellung und/oder mehrere Implementierungen pro Tag), und 41 % erklärten, dass Implementierungen zwischen einmal täglich und einmal im Monat erfolgen.

Fast zwei Drittel der Befragten wollen 2019 in die Infrastruktur investieren, um kontinuierliche Integration, Implementierung und Bereitstellung zu fördern.

 

Dezentrale Teams übertreffen Teams vor Ort

Dezentrales Arbeiten führt oft zu mehr Zusammenarbeit, besserer Dokumentation und Transparenz, und somit letztlich zu ausgereifteren Sicherheitspraktiken als bei örtlich konzentrierten Teams. Tatsächlich haben dezentral arbeitende Entwickler mit 23 % höherer Wahrscheinlichkeit einen guten Einblick in die Arbeit ihrer Kollegen und bewerten die Reife der Sicherheitspraktiken ihrer Organisation um 29 % höher als diejenigen, die in einem traditionellen Büroumfeld arbeiten.

Die Umfrage zeigt auch auf, dass verteilte Teams ihre Arbeit häufiger quantifizieren und dokumentieren als Teams vor Ort, und Mitarbeiter aus dem operativen Bereich werden hier gegenüber Kollegen in zentralen Teams über 2,5-mal so häufig rechtzeitig informiert, wenn die Entwickler ihre Unterstützung benötigen.

Auch wenn bei der Implementierung von DevOps bereits Fortschritte gemacht wurden, bleibt noch viel zu tun, um die Zusammenarbeit zwischen Sicherheits-, Entwickler- und Teams aus dem operativen Bereich zu optimieren.

Der vollständige Global Developer Report 2019: DevSecOps sowie der Blogbeitrag zeigen, was die Software-Profis als die größten Herausforderungen und Vorteile sehen, und wie Teams stimmig Software liefern und ihren Organisationen und Kunden einen Mehrwert bieten können.

 

Methodik

Vom 23. Januar 2019 bis 27. Februar 2019 hat Gitlab 4.071 Software-Profis befragt. Die Fehlerquote beträgt 2 % (bei 23 Millionen Software-Profis und 95 % Konfidenzniveau).

#Netzpalaver #Gitlab