HPE Application Security and Devops Report 2016
Zwischen Devops und IT-Sicherheit klafft eine Lücke
Der "Application Security and Devops Report 2016" von Hewlett Packard Enterprise (HPE) verdeutlicht, dass Security- und Devops-Teams stärker zusammenarbeiten müssen. Für den Bericht ließ HPE IT-Betreiber, Security-Manager und Entwickler befragen. 99 Prozent der Befragten gaben an, dass sich mit Devops grundsätzlich die Anwendungssicherheit verbessern lässt - aber nur 20 Prozent führen während der Entwicklung Tests der Anwendungssicherheit durch. 17 Prozent nutzen laut eigenen Angaben gar keine Lösungen, um ihre Anwendungen zu schützen.
Mit Devops - dem möglichst engen Zusammenspiel von Entwicklung, Qualitätssicherung und Betrieb in der IT - können IT-Organisationen Software-Schwachstellen häufiger und früher im Anwendungslebenszyklus finden und beseitigen - im Prinzip. Denn der HPE-Report zeigt eine Fülle von Hindernissen für das Zusammenspiel von Devops und Security auf:
* Es gibt laut der HPE-Umfrage organisatorische Barrieren zwischen Security- und Entwickler-Teams: 90 Prozent der Security-Mitarbeiter antworteten, es sei schwieriger geworden, Anwendungssicherheit zu integrieren, seit ihr Unternehmen Devops einsetzt. Einige Entwickler gaben in der Befragung sogar an, dass sie ihre Security-Teams nicht einmal kennen.
* Entwicklern fehlt es an Sicherheitsbewusstsein und -Trainings: Von mehr als 100 Stellenausschreibungen für Softwareentwickler bei Fortune-1000-Unternehmen erforderte keine entsprechende Security-Erfahrung, moniert HPE.
* In Unternehmen herrscht ein Mangel an Experten für die Anwendungssicherheit: Auf jeden 80. Entwickler kommt in den untersuchten Firmen ein Anwendungssicherheits-Experte.
HPE gibt im Report eine Reihe von Empfehlungen, wie Unternehmen die Barrieren für sichere Anwendungsentwicklung in der Devops-Kultur beseitigen und die Integration von Security- und Devops-Teams vorantreiben können:
* Mehrere Organisationen müssen die Verantwortung für die IT-Sicherheit gemeinsam tragen: Security muss in jede Phase des Entwicklungsprozesses eingebettet sein, unterstützt durch das Management und entsprechende Zielvorgaben. Diese sollten sich laut dem IT-Konzern auf die Aspekte "Mean Time to Triage" (MTTT, Durchschnittszeit bis zur Festlegung der Prioritäten), "Mean Time to Fix" (MTTF, Durchschnittszeit bis zur Behebung von Störungen) sowie Programm-Compliance konzentrieren.
* Der Mangel an Security-Bewusstsein und -Kompetenz lässt sich laut HPE überwinden, wenn man es Developern erleichert, sichere Entwicklung einzuüben. Unternehmen, so der Konzern, sollten Security-Werkzeuge wie HPEs Fortify Security Assistant in das Entwicklungsumfeld integrieren. Damit könnten Entwickler während der Code-Erstellung Schwachstellen in Echtzeit finden und beseitigen. Dies mache eine sichere Entwicklung einfach und effizient. Zugleich schule es den Entwickler in sicherer Programmierung.
* Unternehmen sollten, so eine weitere Empfehlung des Enterprise-IT-Anbieters, automatisierte Lösungen für die Anwendungssicherheit einsetzen, die über Analysefunktionen verfügen. Hier denkt man bei HPE an Fortify Scan Analytics, das mit maschinellem Lernen arbeitet, um die Durchführung von Anwendungssicherheitstests zu automatisieren. Dies senke die Zahl manuell zu untersuchender Sicherheitsrisiken und ermögliche es Sicherheitsexperten so, sich auf die größten Risiken zu konzentrieren.
Weitere Informationen finden sich unter www.hpe.com.
Lesen Sie mehr zum Thema
