Sonatype,  Erfinder Software Supply Chain-Automatisierung, veröffentlicht heute die Ergebnisse seiner sechsten jährlichen DevSecOps Community-Umfrage unter 5.558 IT-Experten. Damit ist dies die bislang größte durchgeführte DevOps-Studie. Die in Zusammenarbeit mit CloudBees, Carnegie Mellon’s Software Engineering Institute, Signal Sciences, 9th Bit und Twistlock entwickelte Umfrage offenbart ein neues Gesamtbild dessen, wie Unternehmen mit hochleistungsfähigen DevSecOps-Programmen angesichts der zunehmenden Attacken böswilliger Angreifer dastehen.

Im Zuge der rasanten Weiterentwicklung von DevOps-Verfahren automatisieren Spitzenunternehmen die Sicherheit früher im Entwicklungszyklus und handhaben Software Supply Chains als wesentliches Unterscheidungsmerkmal gegenüber ihren Mitbewerbern.  Die Umfrageergebnisse haben gezeigt, dass Organisationen mit hochleistungsfähigen DevSecOps-Programmen anderen Unternehmen in vielen Bereichen bei weitem überlegen sind.

Dazu gehören die folgenden Einflussfaktoren:

  • DevOps Automatisierung – Bei erstklassigen DevSecOps-Praktiken ist die Wahrscheinlichkeit, dass sie vollständig integrierte und automatisierte Sicherheitsverfahren innerhalb der gesamten DevOps-Pipeline einsetzen, um 700 % höher. Sie weisen darüber hinaus vermehrte Feedback-Schleifen auf, die es ermöglichen, Sicherheitsprobleme direkt aus den Tools heraus zu identifizieren.
  • Open-Source-Kontrollen – 62 % der Befragten mit hervorragenden DevSecOps-Programmen verfügen über eine Open-Source-Governance-Richtlinie, die mithilfe der Automatisierung eingehalten wird, im Vergleich zu lediglich 25 % der Befragten ohne DevOps-Praktiken.
  • Container-Kontrollen – 51 % der Befragten mit hochleistungsfähigen Verfahren gaben an, dass sie automatisierte Sicherheitsprodukte einsetzen, um Schwachstellen in Containern zu erkennen, im Gegensatz zu nur 16 % der Befragten ohne DevSecOps.
  • Schulungen  – Unternehmen mit hervorragenden DevSecOps-Praktiken bieten Entwicklern dreimal häufiger Schulungen zur Anwendungssicherheit an, als Unternehmen, die keine DevOps-Verfahren einsetzen.
  • Einsatzbereitschaft – 81 % derjenigen, die erstklassige Verfahren einsetzen, verfügen über einen Reaktionsplan zur Cybersicherheit, im Vergleich zu 62 % derjenigen, die keine DevOps-Verfahren nutzen.  

"47 % der von uns befragten Unternehmen gehen mehrmals pro Woche in Produktion, während die Geschwindigkeit ihrer Sicherheitsverfahren ebenfalls zunimmt", sagt Derek Weeks, Vice President und DevOps Advocate von Sonatype. "Die DevSecOps-Community hat uns gezeigt, dass Spitzenunternehmen deutlich weniger manuelle Arbeit verrichten,  Sicherheit nahtlos in die Welt ihrer Entwickler integrieren und besser auf die Beseitigung von Sicherheitslücken – wenn sie auftreten – vorbereitet sind, als diejenigen die keine DevOps-Verfahren im Einsatz haben."

Weitere wichtige Erkenntnisse aus der größten DevOps-Umfrage:

  • 24 % aller Befragten vermuteten oder bestätigten eine Sicherheitslücke in Bezug auf Open Source-Komponenten. Dies bedeutet eine Steigerung um 71 %, seit "Heartbleed" vor 5 Jahren Schlagzeilen machte.
  • 50 % derjenigen mit erstklassigen DevOps-Programmen erstellen eine vollständige Software-Stückliste, die regelmäßig aktualisiert wird, während dieser Anteil bei denjenigen, die keine DevOps-Verfahren anwenden, lediglich bei 19 % liegt.
  • Entwickler sind nach wie vor der Meinung, dass Sicherheit wichtig ist, sie diese jedoch nicht priorisieren können. Dies ist das dritte Jahr in Folge, in dem 48 % der Befragten eingestanden haben, dass Entwickler das Gefühl haben, dass sie keine Zeit dafür haben.
  • 50 % der Befragten, die eine Cloud-Infrastruktur nutzen, gaben an, sich beim Schutz ihrer Cloud lediglich auf den Dienstanbieter zu verlassen.
  • 46 % der Unternehmen ohne DevOps-Verfahren verfügen nicht über verschlüsselte Anmeldeinformationen auf Anwendungsebene. Im Vergleich dazu verschlüsseln 75 % der Unternehmen mit erstklassigen DevSecOps-Verfahren ihre Anmeldeinformationen.

Ressourcen:

Unterstützende Zitate:

"Jedes Unternehmen mit einem DevOps-Framework sollte eine DevSecOps-Mentalität entwickeln", sagt Shawn Ahmed, Vice President of Product Marketing, CloudBees. "Ziel ist es, die Sicherheit als Kernkomponente innerhalb der gesamten Software-Delivery-Pipeline zu betrachten, anstatt sie als nachträglichen Aspekt zu begreifen. Da sich Sicherheitsbedrohungen immer weiter entwickeln, wird deutlich, welchen Wert die Weiterentwicklung zu DevSecOps hat."

"Die wichtigsten DevOps-Prinzipien umfassen ständiges Lernen durch Zusammenarbeit, Automatisierung (CI/CD), Infrastruktur als Code sowie Monitoring und sie gewährleisten effektive und zeitnahe Reaktion auf Sicherheitslücken", so Hasan Yasar, Technical Manager und Adjunct Faculty Member des Carnegie Mellon’s Software Engineering Institute. „Wir alle müssen erkennen, dass Sicherheit etwas Lebendiges ist. Unternehmen sollten darauf vorbereitet sein, Sicherheitsverletzungen jederzeit innerhalb ihres Application Lifecycle zu verhindern und darauf zu reagieren. Es ist schwer vorstellbar, dass ohne den Einsatz von DevSecOps eine ordnungsgemäße Cyber-Sicherheits-Hygiene vorhanden ist und ausreichende Vorkehrungen auf Sicherheitsverletzungen getroffen sind.“

"Ein wichtiger Punkt in der DevSecOps-Community-Umfrage zeigt, dass, egal wie sehr Sie Ihr Team für DevOps optimiert oder Ihren Softwarebereitstellungszyklus beschleunigt haben, es immer noch eine signifikante Diskrepanz gibt zwischen dem, was Sicherheit will und wie alle anderen das verstehen können", sagt James Wickett, Head of Research bei Signal Sciences. "Dies ist eine grundlegende Kommunikationslücke, die viele Entwickler mit der Einschätzung zurücklässt, dass Sicherheit ein Mysterium ist. Diese Lücke muss geschlossen werden. Entwickler benötigen eine schnelle Sicherheitspriorisierung. Sie sollten wissen, ob sie unter Beschuss stehen oder nicht."

Über die Umfrage

Die "2019 DevSecOps Community Survey" bietet einen Einblick in die Einstellung von Software-Fachleuten in Bezug auf DevOps Best Practices und die sich verändernde Rolle der Anwendungssicherheit. Die hier vorgestellten Ergebnisse sind die Antwort auf 41 Fragen, die von Sonatype und Unterstützern der DevOps-Community gestellt wurden, darunter CloudBees, Signal Sciences, Twistlock, Chris Condo und Carnegie Mellon’s Software Engineering Institute. Die Fehlerquote der Umfrage beträgt ± 1,226 Prozentpunkte für 5.558 IT-Experten mit einem Konfidenzniveau von 95 %.

Über SONATYPE Inc.

Mehr als 10 Millionen Software-Entwickler verlassen sich auf Sonatype, um schneller zu innovieren und gleichzeitig die mit Open Source verbundenen Sicherheitsrisiken zu minimieren. Die Nexus-Plattform von Sonatype kombiniert detaillierte Komponenteninformationen mit Echtzeit-Anleitungen zur Fehlerbehebung, um Open-Source-Governance in jeder Phase der modernen DevOps-Pipeline zu automatisieren und zu skalieren. Sonatype ist in Privatbesitz mit Beteiligungen von TPG, Goldman Sachs, Accel Partners und Hummer Winblad Venture Partners. Erfahren Sie mehr unter www.sonatype.com

Firmenkontakt und Herausgeber der Meldung:

SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com

Ansprechpartner:
Martina Kunze
PR für Sonatype
Telefon: +49 (7042) 1205073
E-Mail: mail@martinakunze.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.