SANS-Studie

DevSecOps: Unternehmen vernachlässigen Security as Code-Trend

Das SANS Institute stellt die Ergebnisse der Umfrage zu Rethinking the Sec in DevSecOps: Security as Code in der gleichnamigen Studie von den SANS-Instructors Jim Bird und Eric Johnson vor.

Mit der Verlagerung von IT-Workloads in die Cloud ändert sich wie Unternehmen Systeme entwickeln und bereitstellen – und wie IT-Sicherheit umgesetzt werden muss. Der Report gibt Antworten auf die Fragen, was dieser Wandel für das moderne Unternehmen und sein Sicherheitsprogramm bedeutet. 

Anzeige

„Aus IT-Sicherheit wird bei DevSecOps Security Engineering. Das bedeutet nicht weniger als das Schreiben von Sicherheits- und Compliance-Richtlinien im Code. Anwendungscode und Servicekonfigurationen muss überprüft, gescannt und getestet werden. Die Verantwortlichen müssen ein Verständnis dafür entwickeln, wie Anwendungsentwicklungs- und System-Engineering-Teams arbeiten und ihnen helfen, Tools zu finden und zu implementieren, um Sicherheitstests direkt in die Entwicklung zu integrieren. Security as Code erfordert daher neue Fähigkeiten und neue Denk- und Arbeitsweisen: kollaborativer und transparenter, schneller und iterativer. Es erfordert, sich auf Automatisierung zu stützen, um allgemeine Probleme zu lösen und Kosten und Risiken zu reduzieren,“ fassen Bird und Johnson die Ausgangssituation zusammen.

Einige wichtige Ergebnisse des Reports:

  • Mehr als die Hälfte (57 %) der Unternehmen nutzen drei oder mehr Cloud-Plattformen. Jede Cloud-Plattform ist einzigartig: Die Konfigurationsmodelle unterscheiden sich, ebenso die APIs und Services. Daher unterscheiden sich auch die Betriebs- und Sicherheitsrisiken, was es schwierig macht, sie zu verstehen und zu verwalten. Cloud-agnostische Tools helfen zunehmend dabei, Kosten und Risiken zu reduzieren.
     
  • Grundlegende Softwareentwicklungspraktiken wie CI/CD und Testautomatisierung sind der Schlüssel zur Bereitstellungsgeschwindigkeit und zu kontinuierlichen Sicherheitstests. Wenn Entwicklungsteams ihre Build-/Testarbeit nicht automatisieren, wird es für sie schwieriger, automatisierte Sicherheitstests zu implementieren. Während 66 Prozent der Unternehmen derzeit Builds automatisieren, folgt nur die Hälfte der Unternehmen (52 %) der CI und nutzt die Vorteile automatisierter Tests.
     
  • Entwicklungsteams werden immer schneller, doch auch die Angreifer werden immer schneller. Nur die Hälfte der Unternehmen (51 %) patcht oder behebt kritische Sicherheitsschwachstellen und andere kritische Sicherheitsrisiken innerhalb einer Woche nach der Identifizierung dieser Risiken. Unternehmen müssen DevOps und agile Praktiken sowie automatisierte Build-Chains und automatisierte Tests nutzen, um Patches schneller und zuverlässiger bereitzustellen.

Weitere Informationen:

Anzeige

Den kompletten Report „Rethinking the Sec in DevSecOps: Security as Code“ erhalten Teilnehmer des Webcasts, der am 21. Juni um 13 Uhr EDT US-Zeit (19 Uhr CET) stattfindet. Wer den Webcast verpasst, bekommt über das Archiv die Möglichkeit dies nachzuholen. Sponsoren der Umfrage sind Accurics, Aqua Security, ForAllSecure, Micro Focus, Sysdig und Veracode.

www.sans.org
 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.