Kontinuierlich Sicherheit üben
Eine Security-Einführung für DevOps-Teams
DevOps-Teams entwickeln und betreiben Software in Eigenregie, einschließlich der IT-Sicherheit von Entwicklungs- und Betriebsumgebungen. Wir erklären, was es zu beachten gilt und wie Sie spielerisch Probleme mit dem Kartenspiel OWASP Cumulus aufspüren.
DevOps ist ein Prinzip der Softwareentwicklung, bei dem Teams die Verantwortlichkeiten von Entwicklern und Systemadministratoren in sich vereinen. Sie sind für das gesamte Produkt zuständig, vom Schreiben der Software bis zum Betrieb der Infrastruktur, auf der sie läuft. Um alltäglichen Kleinkram wie etwa die Zugriffsverwaltung muss sich ein DevOps-Team selbst kümmern, und in außergewöhnlichen Notfällen liegt es ebenso an ihm, schnell und angemessen zu reagieren.
Dafür ist es unerlässlich, dass DevOps-Teams auch für die Sicherheit ihrer Produkte garantieren; und zwar zu jedem Zeitpunkt. Das zugehörige Schlagwort, „DevSecOps“, ist allerdings etwas missverständlich. Denn die Sicherheit (Security) stellt gerade kein drittes Aufgabengebiet neben Entwicklung (Development) und Administration (Operations) dar. Sie muss vielmehr ein grundlegendes Anliegen und ein stetiger und natürlicher Bestandteil der verwendeten Prozesse sein.