DevSecOps (Abkürzung für „Development, Security and Operations“) ist ein Entwicklungsverfahren, das Sicherheitsinitiativen in jede Lebenszyklusphase der Softwareentwicklung integriert, um robuste und sichere Anwendungen bereitzustellen.

DevSecOps implementiert Sicherheitsfunktionen in die Continuous Integration und Continuous Delivery(CI/CD)-Pipeline, sodass Entwicklungsteams einige der dringendsten Sicherheitsherausforderungen in DevOps-Geschwindigkeit bewältigen können.

Früher wurden Sicherheitsempfehlungen und -praktiken oft erst spät im Entwicklungslebenszyklus umgesetzt. Da jedoch ausgefeiltere Cyber-Security-Angriffe zunehmen und Entwicklungsteams zu kürzeren, häufigeren Anwendungsiterationen übergehen, wird DevSecOps nun zur bevorzugten Methode, um Anwendungssicherheit in diesem modernen Entwicklungsökosystem zu gewährleisten.

Heutzutage hat Sicherheit für alle Unternehmen oberste Priorität. Glücklicherweise ist DevSecOps mit seinem Schwerpunkt auf Sicherheit in jeder Phase ein sichererer Entwicklungsansatz und erfüllt gleichzeitig die Geschwindigkeitsanforderungen moderner, schneller Releasezyklen.

Der DevSecOps-Ansatz bietet folgende spezifische Vorteile:

• Verbesserte Anwendungssicherheit
  DevSecOps integriert einen proaktiven Ansatz, um Cyber-Security-Bedrohungen früh im Entwicklungslebenszyklus zu minimieren. Entwicklungsteams nutzen automatisierte Sicherheitstools, um Code im laufenden Betrieb zu testen, und führen Sicherheitsaudits ohne Beeinträchtigung von Entwicklungszyklen durch.
  
  DevOps-Teams überprüfen, kontrollieren, testen, durchsuchen und debuggen Code in verschiedenen Phasen des Entwicklungsprozesses, um zu gewährleisten, dass Anwendungen kritische Sicherheitskontrollpunkte passieren. Im Fall von Sicherheitsschwachstellen arbeiten Anwendungssicherheits- und Entwicklungsteams gemeinsam an Lösungen auf Code-Ebene, um Probleme zu beheben.
  
  
• Teamübergreifende Verantwortung
  DevSecOps bringt Entwicklungs- und Anwendungssicherheitsteams schon früh im Entwicklungsprozess zusammen, sodass ein kollaborativer, teamübergreifender Ansatz entsteht. DevSecOps vermeidet isolierte, unterschiedliche Abläufe, die Innovationen ausbremsen und sogar zu Aufspaltungen in Geschäftsbereichen führen. Stattdessen kommen Teams damit früh auf einen gemeinsamen Nenner, wodurch eine teamübergreifende Akzeptanz und effizientere Teamzusammenarbeit erreicht wird.
  
  
• Optimierte Anwendungsbereitstellung
  Integrieren Sie Sicherheitsfunktionen früher und häufiger in den Entwicklungslebenszyklus, automatisieren Sie so viele Sicherheitsprozesse wie möglich und optimieren Sie die Berichterstellung. Erhöhen Sie die Sicherheit, befähigen Sie Compliance-Teams und gewährleisten Sie, dass Sicherheitsverfahren schnelle Entwicklungszyklen unterstützen.
  
  Wenn Entwicklungsteams beispielsweise alle anfänglichen Phasen der Anwendungsentwicklung abschließen und dann kurz vor der Übertragung in die Produktion zahlreiche Sicherheitsschwachstellen aufdecken, kann dies zu erheblichen Verzögerungen bei der Bereitstellung führen.
  
  
• Weniger Sicherheitsschwachstellen
  Nutzen Sie Automatisierungsfunktionen, um häufige Schwachstellen und Risiken (Common Vulnerabilities and Exposures, CVEs) zu identifizieren, zu verwalten und zu patchen. Verwenden Sie vorgefertigte Scanlösungen frühzeitig und häufig, um vordefinierte Container-Images in der Build-Pipeline auf CVEs zu überprüfen. Führen Sie Sicherheitsmaßnahmen ein, die nicht nur Risiken minimieren, sondern auch Informationen bereitstellen, sodass Teams identifizierte Schwachstellen schnell beheben können.
  
  Einer der größten Vorteile von DevSecOps besteht in einem optimierten, agilen Entwicklungsprozess – ein Ansatz, der Sicherheitsschwachstellen bei richtiger Umsetzung erheblich reduziert. Viele der Cyber-Security-Testprozesse, -aufgaben und -services können ganz einfach in die automatisierten Services von Anwendungsentwicklungs- oder Operations-Teams integriert werden.
  
  Dank eines sicherheitsorientierten Ansatzes im Entwicklungsprozess sind Unternehmen in der Lage, unbekannte Variablen zu beseitigen, die sich zweifellos auf den Zeitplan für Produktreleases auswirken.

DevSecOps ist in der modernen Geschäftswelt wichtig, um auf die zunehmende Anzahl von Cyberangriffen zu reagieren. Durch die frühzeitige und häufige Implementierung von Sicherheitsinitiativen können für Anwendungen in einer Reihe von Branchen folgende Vorteile erzielt werden.

• Behörden: Anwendungen, die hochgradig sensible Behördeninformationen verwalten, sind ein ständiges Ziel von böswilligen Cyberangriffen. Durch die Härtung dieser Anwendungen mit einem sicherheitsorientierten Entwicklungsansatz wird die Wahrscheinlichkeit, dass böswillige Entitäten Schwachstellen finden und ausnutzen, erheblich reduziert.
• Gesundheitswesen: DevSecOps entwickelt sich zum Standard für das Anwendungsdesign im Gesundheitswesen. Durch die erforderliche Einhaltung von HIPAA-Richtlinien wird immer deutlicher, dass ein sicherheitsorientierter Ansatz die Wahrscheinlichkeit einer Offenlegung oder eines Missbrauchs personenbezogener Patientendaten deutlich verringert.
• Finanzwesen: DevSecOps unterstützt auch Entwicklungspraktiken im Finanzwesen. Heutzutage stellen Finanzdienstleistungen ein wichtiges Ziel für Cyberangriffe dar. Daher setzen Entwicklungsunternehmen auf ein DevSecOps-Modell, um möglichst zu verhindern, dass sensible Daten in die Hände von Cyberkriminellen gelangen.

Der DevSecOps-Ansatz von VMware bietet Entwicklungsteams einen vollständigen Sicherheitsstack. Dies wird durch eine kontinuierliche Zusammenarbeit zwischen Entwicklungs-, Release-Management- (Betrieb) und Sicherheitsteams in Unternehmen erreicht, wobei diese Zusammenarbeit in jeder Phase der CI/CD-Pipeline im Vordergrund steht.

Die CI/CD-Pipeline wird in sechs Phasen unterteilt: „Code“, „Build“, „Store“, „Prep“, „Deploy“ und „Run“.

Im Folgenden wird jede Workflow-Phase erläutert, um die Vorteile einer frühzeitigen Integration von Sicherheitsfunktionen zu veranschaulichen.

• Code
  Der erste Schritt eines DevSecOps-Entwicklungsansatzes besteht darin, in sicheren und vertrauenswürdigen Segmenten zu programmieren. VMware Tanzu® bietet Tools, die diese von Grund auf sicheren Bausteine regelmäßig aktualisieren, um Ihre Daten und Anwendungen vom ersten Tag an besser zu schützen.
  
• Build
  Für die Bereitstellung von Code und umfassenden Container-Images, die ein Kernbetriebssystem, Anwendungsabhängigkeiten und andere Laufzeitservices enthalten, ist ein sicherer Prozess erforderlich. VMware Tanzu Build Service™ gewährleistet ein sicheres Management und überprüft Laufzeitabhängigkeiten, um die Sicherheit zu verbessern, sodass DevSecOps-Teams sicher und agil entwickeln können.
• Store
  In der dynamischen Cyber-Security-Landschaft von heute muss jeder standardmäßige Technologiestack als Risiko betrachtet werden. Bis zu diesem Punkt sollten alle Standardanwendungen oder entsprechende Back-End-Services kontinuierlich überprüft werden. Glücklicherweise können Entwickler mithilfe von VMware bestimmte Abhängigkeiten mit VMware Tanzu sicher abrufen und Container-Images mit VMware Carbon Black Cloud Container™ auf Schwachstellen überprüfen.
• Prep
  Vor der Bereitstellung müssen sich Unternehmen vergewissern, dass ihre Anwendungen den jeweiligen Sicherheitsrichtlinien entsprechen. Zu diesem Zweck können sie mit VMware Tanzu und Carbon Black Cloud Container Konfigurationen anhand ihrer Sicherheitsrichtlinien validieren, bevor sie in die nächsten Phasen des Entwicklungszyklus übergehen. Diese Konfigurationen definieren, wie Workloads ausgeführt werden sollen, und bieten dabei nicht nur wichtige Informationen zu potenziellen Schwachstellen, sondern ebnen auch den Weg für eine erfolgreiche Bereitstellung in den nachfolgenden Phasen der CI/CD-Pipeline.
• Deploy
  Durch die in den vorherigen Schritten durchgeführten Scans erhalten Unternehmen einen umfassenden Einblick in die Sicherheit von Anwendungen. In dieser Phase werden identifizierte Schwachstellen oder Fehlkonfigurationen im Entwicklungsprozess klar dargestellt, sodass Unternehmen Probleme beheben, strengere Sicherheitsstandards festlegen und damit einen besseren Sicherheitsstatus erreichen können.
• Run
  SecOps-Teams können aktive Bereitstellungsanalysen sowie Überwachungs- und Automatisierungsfunktionen nutzen, um kontinuierliche Compliance sicherzustellen und gleichzeitig das Risiko von Schwachstellen nach der Bereitstellung zu minimieren.

Anhand der Namen scheint es so, dass sich DevSecOps und DevOps bis auf zusätzliche Sicherheitsfunktionen nicht unterscheiden. Das ist jedoch nicht der Fall.

DevOps (Abkürzung für „Development and Operations“) konzentriert sich ausschließlich auf die Zusammenarbeit zwischen diesen beiden wesentlichen Teams im Entwicklungsprozess. In diesem Fall arbeiten die beiden Teams gemeinsam an der Entwicklung von Prozessen, KPIs und Meilensteinen. Dadurch können Operations-Teams die Bereitstellungsphasen genauer analysieren und gleichzeitig kontinuierliche Updates und Feedback von Entwicklungsteams auswerten.

DevSecOps ist eine Iteration von DevOps in dem Sinne, dass DevSecOps das DevOps-Modell übernommen und Sicherheit als zusätzliche Ebene in den kontinuierlichen Entwicklungs- und Betriebsprozess integriert hat. Anstatt Sicherheit nur im Nachhinein zu betrachten, zieht DevSecOps frühzeitig Anwendungssicherheitsteams hinzu, um den Entwicklungsprozess im Hinblick auf Sicherheit und die Minimierung von Schwachstellen zu optimieren.