Aus dem kürzlich von HPE (Hewlett-Packard Enterprise) veröffentlichten "Application Security and Devops Report 2016" sticht der Hinweis hervor, dass Security- und Devops-Teams stärker zusammenarbeiten müssten. Von den für den Bericht befragten IT-Betreibern, Security-Managern und Entwicklern gaben 99 Prozent an, dass sich mit Devops grundsätzlich die Anwendungssicherheit verbessern lasse, aber nur 20 Prozent führen während der Entwicklung Tests der Anwendungssicherheit durch. 17 Prozent nutzen laut eigenen Angaben gar keine Lösungen, um ihre Anwendungen zu schützen.
Mit Devops, dem möglichst engen Zusammenspiel von Entwicklung, Qualitätssicherung und Betrieb in der IT, können IT-Organisationen Software-Schwachstellen grundsätzlich häufiger und früher im Anwendungslebenszyklus finden und beseitigen. Allerdings zeigt der HPE-Report auch eine Fülle von Hindernissen für das Zusammenspiel von Devops und Security auf. So gibt es etwa laut der HPE-Umfrage organisatorische Barrieren zwischen Security- und Entwickler-Teams. 90 Prozent der Security-Mitarbeiter antworteten, es sei schwieriger geworden, Anwendungssicherheit zu integrieren, seit ihr Unternehmen Devops einsetzt. Einige Entwickler gaben in der Befragung sogar an, dass sie ihre Security-Teams nicht einmal kennen.
Zudem fehle es den Entwicklern an Sicherheitsbewusstsein und -Trainings, belegt der Report. Von mehr als 100 Stellenausschreibungen für Softwareentwickler bei Fortune-1000-Unternehmen erforderte keine eine entsprechende Security-Erfahrung, moniert HPE. Auch herrsche in den Unternehmen ein Mangel an Experten für die Anwendungssicherheit. Auf gerade einmal jeden 80. Entwickler komme in den untersuchten Firmen ein Anwendungssicherheits-Experte.
HPE gibt im Report eine Reihe von Empfehlungen, wie Unternehmen die Barrieren für sichere Anwendungsentwicklung in der Devops-Kultur beseitigen und die Integration von Security- und Devops-Teams vorantreiben könnten. So sollten mehrere Organisationen die Verantwortung für die IT-Sicherheit gemeinsam tragen. "Security muss in jede Phase des Entwicklungsprozesses eingebettet sein, unterstützt durch das Management und entsprechende Zielvorgaben," heisst es im Report wörtlich. Diese sollten sich auf die Aspekte „Mean Time to Triage“ (MTTT, Durchschnittszeit bis zur Festlegung der Prioritäten), „Mean Time to Fix“ (MTTF, Durchschnittszeit bis zur Behebung von Störungen) sowie Programm-Compliance konzentrieren.
Desweiteren liesse sich der Mangel an Security-Bewusstsein und -Kompetenz überwinden, wenn man es Developern erleicherte, eine sichere Entwicklung einzuüben, so HPE. Unternehmen sollten demnach Security-Werkzeuge in das Entwicklungsumfeld integrieren. Damit könnten Entwickler während der Code-Erstellung Schwachstellen in Echtzeit finden und beseitigen. Dies mache eine sichere Entwicklung einfach und effizient. Zugleich schule es den Entwickler in sicherer Programmierung.
Letztlich sollten Unternehmen automatisierte Lösungen für die Anwendungssicherheit einsetzen, die über Analysefunktionen verfügen, empfiehlt HPE. Als Beispiel führ der IT-Riese hier Fortify Scan Analytics an, das mit maschinellem Lernen arbeitet, um die Durchführung von Anwendungssicherheitstests zu automatisieren. Dies senke die Zahl manuell zu untersuchender Sicherheitsrisiken und ermögliche es Sicherheitsexperten so, sich auf die grössten Risiken zu konzentrieren, heisst es.
www.hpe.com
