Softwareentwicklung
Zusammenführung von Dev- und Sec-Teams mit Shift Left-Sicherheit
Risiken reduzieren, Kosten senken, Sicherheit erhöhen
Zunehmend viele Unternehmen stehen vor der Herausforderung eine schnelle und effektive Softwareentwicklung mit hohen Anforderungen an die IT- und Datensicherheit in Einklang zu bringen. Von Produktteams über Lösungs-Architekten bis hin zu Entwicklern wird die „Shift Left“-Sicherheit dabei immer mehr zum festen Bestandteil des täglichen Vokabulars. Bei der konventionellen Vorgehensweise brachten die Entwicklerteams ihren Code in die Produktion, bevor Sicherheitsteams diesen Code auf Schwachstellen prüften. Dies war ineffizient und brachte eine Reihe von kostspieligen Sicherheitsproblemen mit sich. Shift Left reduziert dieses Risiko, ist kosteneffizient und erhöht die Security, wie Palo Alto Networks berichtet.
Viele Unternehmen haben immer noch Schwierigkeiten, trotz der bekannten Vorteile „auf links zu wechseln“. Einige Entwickler sagen immer noch: „Security ist nicht mein Job, das ist Aufgabe des Sicherheitsteams!“ Sicherheitsteams wiederum fördern die Zusammenarbeit zwischen den beiden Teams bei der Behebung von Sicherheitsproblemen ebenso wenig.
Es gibt aber Schritte, die Unternehmen umsetzen können, um diesen kulturellen Wandel zu erleichtern und alle Teams in die Softwareentwicklung einzubeziehen, indem sie gemeinsam „nach links marschieren“. Hier sind vier Tipps von Palo Alto Networks für Manager und Sicherheitsteams, um DevSecOps zu unterstützen:
Realistische Fristen setzen
Das Management setzt oft eine Frist, die sich nach dem richtet, was die Interessengruppen sagen. Wenn dann etwas schiefgeht, kämpfen die Entwickler darum, die verlorene Zeit auszugleichen. Angesichts des Drucks, pünktlich zu liefern, ist Sicherheit in der Regel das Erste, was Entwickler ignorieren. Stattdessen sollten IT-Manager mit Problemen rechnen und diese im Rahmen der Projektabwicklung berücksichtigen. Wenn es zu einer Verzögerung kommt, sollte das Management niemals Entwickler rügen. Indem Entwicklern Unterstützung bei der Priorisierung von Sicherheit zuteilkommt, lässt sich der Wandel zu einer sicherheitsbewussten Kultur beeinflussen.
Einstellung und Schulung von Sicherheitsingenieuren, die kodieren
Damit die beiden Teams zusammenarbeiten können, muss das Sicherheitsteam in der Lage sein, Entwicklern bei der Lösung ihrer Probleme zu helfen. Durch die Einstellung von Sicherheitsfachkräften, die programmieren und die Schulung der bestehenden Teammitglieder, kann das Sicherheitsteam die Entwickler mit der Einstellung „Wir werden das gemeinsam lösen“ ansprechen.
Internes Rebranding für SecOps
Es ist eine gute Idee für Sicherheitsteams, sich einen neuen Namen auszudenken, um sich in den Köpfen der Entwickler neu zu positionieren und den bereits bestehenden Ruf abzuschütteln. Eine Möglichkeit ist ein lustiges Akronym wie „Development Operations Partners in Excellence“ oder „DOPE“-Team. Der Name sollte eine Partnerschaft mit den Entwicklern verdeutlichen.
Automatisierung
Best Practices sollten durch API-basierte Tools automatisiert werden, die Sicherheit in die CI/CD-Pipeline integrieren. Durch die Implementierung von Tools zur Automatisierung der Sicherheit erhalten Entwickler die Unterstützung, die sie benötigen, um Sicherheit einzubauen, ohne das Entwicklerteam übermäßig zu belasten.
Einige Sicherheitsmanager machen den Fehler, den Entwicklern etwas aufzuzwingen, und denken, dass sie sich dadurch mehr um die Sicherheit kümmern werden. Aber Shift Left erfordert es aber nach Meinung von Palo Alto Networks, Mitarbeiter nicht zu drangsalieren, sondern in einen gemeinsamen Prozess miteinzubeziehen.