Community
HPE Blog, Austria, Germany & Switzerland
1751880 Mitglieder
5527 Online
108783 Lösungen
Neuer Artikel
 
RSS-Feed abonnieren
|
PatrikEdlund

HPE-Studie: Lücken zwischen DevOps und Security

‎10-25-2016 02:26 PM

 

 

Application Security and DevOps Report 2016: stärkere Integration von Security und DevOps notwendig

Der heute veröffentlichte Application Security and DevOps Report 2016 von Hewlett Packard EnterpriseApplication Security and DevOps Report_1.JPG (HPE) zeigt die Notwendigkeit, Security- und DevOps-Teams stärker zu integrieren. Für den Bericht wurden IT-Betreiber, Security-Manager und Entwickler befragt. 99 Prozent der Befragten sagen, dass sich mit DevOps grundsätzlich die Anwendungssicherheit verbessern lässt – aber nur 20 Prozent führen während der Entwicklung Anwendungssicherheits-Tests durch, und 17 Prozent nutzen gar keine Lösungen, um ihre Anwendungen zu schützen. Es herrscht also eine deutliche Kluft zwischen Wahrnehmung und Realität von sicherem DevOps. 

Mit DevOps können Firmen Schwachstellen häufiger und früher im Anwendungslebenszyklus finden und beseitigen, was Kosten und Zeit spart. Der Application Security and DevOps Report 2016 hat allerdings zahlreiche Barrieren für eine erfolgreiche Integration von Security in DevOps festgestellt:

  • Es gibt organisatorische Barrieren zwischen Security- und Entwickler-Teams. Einige Entwickler gaben in der Befragung an, dass sie ihre Security-Teams nicht einmal kennen. 90 Prozent der Security-Mitarbeiter antworteten, dass es schwieriger geworden ist, Anwendungssicherheit zu integrieren seit ihr Unternehmen DevOps einsetzt
  • Entwicklern fehlt es an Sicherheitsbewusstsein und -Trainings. Von mehr als 100 Stellenausschreibungen für Softwareentwickler bei Fortune-1000-Unternehmen verlangte keine entsprechende Security-Erfahrung.
  • In Unternehmen gibt es einen Mangel an Anwendungssicherheits-Experten. Auf jeden 80. Entwickler kommt in den untersuchten Firmen ein Anwendungssicherheits-Experte.

Einfluss von DevOps auf AnwendungssicherheitEinfluss von DevOps auf Anwendungssicherheit
Empfehlungen für sichere Anwendungsentwicklung

Der Report gibt folgende Empfehlungen, wie Firmen bei der weiteren Einführung der DevOps-Kultur die Barrieren für sichere Anwendungsentwicklung beseitigen sowie die Integration von Security- und DevOps-Teams vorantreiben können:

  • Die Verantwortung für Security muss von mehreren Organisationen gemeinsam getragen werden. Security muss in jede Phase des Entwicklungsprozesses eingebettet sein, unterstützt durch das Management und entsprechende Zielvorgaben. Diese sollten sich auf Mean-Time-To-Triage (MTTT), Mean-Time-To-Fix (MTTF) sowie Programm-Compliance konzentrieren.
  • Der Mangel an Security-Bewusstsein und -Kompetenz kann überwunden werden, wenn man es Entwicklern einfach macht, sichere Entwicklung einzuüben. Firmen sollten Security-Werkzeuge, wie HPE Fortify Security Assistant, in das Entwicklungsökosystem integrieren. Damit können Entwickler, während sie ihre Codes schreiben, Schwachstellen in Echtzeit finden und beseitigen. Das macht sichere Entwicklung einfach und effizient – und bildet den Entwickler währenddessen in sicherer Programmierung aus.
  • Firmen sollten automatisierte Lösungen für Applikationssicherheit einsetzen, die über Analytics-Funktionen verfügen – etwa HPE Fortify Scan Analytics, das mit maschinellem Lernen arbeitet. So können sie die Prüfung der Applikationssicherheits-Tests automatisieren und ermöglichen ihren Sicherheitsexperten, sich nur auf die größten Risiken zu konzentrieren. Dadurch wird die Zahl der Sicherheitsrisiken reduziert, die manuell untersucht werden müssen.
Beschriftungen:
0 Kudos
Über den Autor

PatrikEdlund

International Public Relations, Hewlett Packard Enterprise

Top-Kudo-Autoren der letzten 30 Tage
Author
Kudos
M_Ptasinska Avatar
M_Ptasinska
1
Dima_Tsaripa Avatar
Dima_Tsaripa
1
Alle anzeigen
Die oben geäußerten Meinungen sind die persönlichen Meinungen der Verfasser, nicht von Hewlett Packard Enterprise. Durch die Nutzung dieser Website akzeptieren Sie die Nutzungsbedingungen und Teilnahmeregeln.