Neue DevOps-Studie von Sonatype offenbart eine sich ändernde Einstellung zur Sicherheit von Applikationen

Top performante Software-Entwicklungsteams setzen auf DevSecOps-Automatisierung

Wayne Jackson, CEO, Sonatype (PresseBox) ( Fulton, )
Sonatype, der Marktführer im Bereich Software-Supply-Chain-Automatisierung, gibt heute die Ergebnisse der „2017 DevSecOps Community“-Umfrage bekannt. 2.292 IT-Experten nahmen an der im Februar 2017 durchgeführten Online-Umfrage teil. Die Untersuchung ergab, dass ausgereifte Entwicklungsorganisationen gewährleisten, dass Sicherheit automatisiert in ihre DevOps-Praktiken eingebunden ist, und zwar frühzeitig, überall und im richtigen Maßstab. Die Analyse der Antworten ergab außerdem, dass IT-Organisationen nach wie vor mit Sicherheitslücken zu kämpfen haben. Vergleicht man die Umfragewerte von Sonatype zwischen 2014 und 2017, so ist hier sogar ein Anstieg um nahezu 50 % zu verzeichnen.

Die weltweite Einführung von DevOps bestätigen 67 % der Befragten, die ihre DevOps-Praktiken als sehr ausgereift bezeichnen oder dabei sind, diese zu verbessern. Während traditionelle Entwicklungs- und operative Teams eine Verzögerung der Prozesse durch Security-Teams oder -Richtlinien sehen (47 %), haben DevOps-Teams neue Wege entdeckt, wie sie die Sicherheit in der gleichen Geschwindigkeit integrieren, in der die Entwicklung voranschreitet. Nur 28 % der bereits ausgereiften DevOps-Teams glauben, sie würden von Sicherheitsanforderungen ausgebremst.

Weitere wichtige Erkenntnisse aus der Umfrage:

Die Software-Entwicklung spielt von Anfang an eine aktive Rolle bei der Applikationssicherheit

  • Entwickler übernehmen mehr Verantwortung für das Thema Sicherheit. So gaben 24 % aller Befragten an, dass Sicherheit ein Hauptanliegen sei, während innerhalb der ausgereiften DevOps-Organisationen dieser Anteil auf 38 % steigt.
  • Im Vergleich zu 39 % aller Umfrageteilnehmer haben bereits 58 % der Befragten in ausgereiften DevOps-Teams die Sicherheit im Rahmen ihrer Continuous-Integration-(CI)-Praktiken automatisiert.
Innerhalb der DevOps-Teams werden Sicherheitskontrollen in zunehmendem Maße über den gesamten Entwicklungszyklus automatisiert
  • Analysen zur Applikationssicherheit in jeder Phase des Software-Delivery-Lifecycles (SDLC) führen 42 % der Befragten in ausgereiften DevOps-Organisationen durch. Der Anteil aller Befragten liegt hier bei lediglich 27 %.
Automatisierte Sicherheitspraktiken ermöglichen es Entwicklern, mit der Geschwindigkeit und der Dimension von Innovationen Schritt zu halten
  • 88 % aller Umfrageteilnehmer gaben an, dass Sicherheit eines der wichtigsten Anliegen bei der Bereitstellung von Containern sei. Jedoch nutzen lediglich 53 % Sicherheitslösungen, um diesem Problem beizukommen.
  • 35 % der Unternehmen führen eine vollständige Software-Materialliste (Bill of Materials), um neue Open-Source-Sicherheitslücken schneller aufdecken zu können (z. B. Commons-Collection, Struts2).
  • 85 % der Befragten, die sehr ausgereifte DevOps-Praktiken umsetzen, haben eine Form von Training für Applikationssicherheit durchlaufen, um sie für sichere Coding-Verfahren zu sensibilisieren. Unter den Befragten mit wenig ausgereiften DevOps-Praktiken erhielten 30 % keine solche Ausbildung.
"Wie die diesjährigen Umfrageergebnisse belegen, sind Unternehmen überall dabei, Ihre Entwicklung von Wasserfall-nativen hin zu DevOps-nativen Tools und Prozessen zu transformieren," erklärt Wayne Jackson, CEO, Sonatype. "Auf dem Weg dorthin kommen sie mit einer einfachen Tatsache in Berührung: DevOps ist keine Entschuldigung für eine schlechte Anwendungssicherheit; vielmehr ist es eine Gelegenheit, die Anwendungssicherheit besser zu machen, als je zuvor zu tun."

Zusätzliche Ressourcen
Über die Umfrage
Die "2017 DevSecOps Community Survey" gibt Aufschluss darüber, welche Einstellung Software-Profis gegenüber DevOps-Best-Practices und der sich wandelnden Rolle der Applikationssicherheit haben. Die Umfrage wurde von Sonatype, Contino, DZone, Emerasoft, Ranger4, und Signal Sciences durchgeführt. Die Fehlerquote der Umfrage liegt bei ± 2,02 Prozentpunkten für 2.292 IT-Experten mit einem Konfidenzniveau von 95 %.
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.