DevSecOps: Die größten Herausforderungen bei Shift Left Security

Foto: shaneinsweden – shutterstock.com

Akzeptanz für Shift Left Security steigt, aber auch die Last für Entwickler

IT-Sicherheit wird schon seit Jahren in früheren Phasen des Entwicklungsprozesses eingesetzt, und immer mehr Entwicklungsteams beziehen IT-Sicherheit in ihre Arbeit ein. “In der Security-Welt ist ein früherer Zeitpunkt im Prozess besser”, betont Melinda Marks, Practice Director für Cybersicherheit bei der Enterprise Strategy Group (ESG), einem Forschungs- und Beratungsunternehmen.

Der 2023 Global DevSecOps Report von GitLab, für den mehr als 5.000 IT-Führungskräfte, CISOs und Entwickler in verschiedenen Branchen befragt wurden, bestätigt, dass DevSecOps-Teams sich zunehmend der gemeinsamen Verantwortung, was IT-Sicherheit angeht, bewusst werden. Laut der Umfrage gaben 38 Prozent der IT-Sicherheitsexperten an, Teil eines funktionsübergreifenden Teams zu sein, das sich mit Security beschäftigt. Das ist ein deutlicher Anstieg gegenüber den 29 Prozent, die im Jahr 2022 angegeben wurden.

Ein weiterer Schritt in die richtige Richtung ist, dass 71 Prozent der IT-Sicherheitsexperten angaben, dass ein Viertel oder mehr aller Sicherheitslücken von Entwicklern behoben werden; im Jahr 2022 waren es noch 53 Prozent der Befragten.

Trotz dieser Erkenntnisse und der zunehmenden Akzeptanz für Shift Left Security gibt es auch Herausforderungen. Das zeigt sich zum Beispiel im Global C-Suite Security Survey Report 2022 von CloudBees, einem Hersteller einer DevSecOps-Plattform: 83 Prozent der befragten C-Suite-Führungskräfte stimmten zwar zu, dass Shift Left für sie als Unternehmen wichtig sei. Aber 58 Prozent gaben an, dass der Ansatz eine Belastung für ihre Entwickler darstelle. Diese Erfahrung und andere Herausforderungen können die Akzeptanz verlangsamen und den Wert der Shift-Left-Strategie begrenzen, betonen die Sicherheitsexperten.

“Shift Left wird heute mehr als früher in der Praxis eingesetzt. Aber ist es so tiefgreifend, wie es sein könnte? Sicherlich nicht”, sagt Jon France, CISO von ISC2, einer gemeinnützigen Schulungs- und Zertifizierungsorganisation.

Shift-Left-Ansatz reduziert Schwachstellen

Russell Jones, Partner beim Beratungsunternehmen Deloitte, hat mehrere Unternehmen bei der Umsetzung eines Shift-Left-Ansatzes unterstützt. Seinen Angaben zufolge konnten dadurch Schwachstellen in einem frühen Entwicklungsstadium eines Produkts um 90 Prozent verringert werden. Zudem stellten andere Experten fest, dass die IT-Sicherheitskosten in Unternehmen, die Shift Left eingeführt haben, niedriger sind.

Shift-Left-Implementierung oft ohne Plan

Security früher in die Softwareentwicklung einzubinden, ist leichter gesagt als getan. Dennoch haben IT-Sicherheitsberater und -forscher beobachtet, dass einige Unternehmen versuchen, diese Umstellung ohne ausreichende Planung oder angemessene Unterstützung für ihre Teams vorzunehmen.

“Es ist schwer für Unternehmen, erfolgreich zu sein, wenn sie Shift Left nicht programmatisch umgesetzt haben”, sagt Jones. “Sie müssen absichtliche Praktiken, Richtlinien und Playbooks für Ihr gesamtes Team haben, weil Sie Ihre Entwicklungs- und Betriebsteams mit den IT-Sicherheitsteams verschmelzen. Wenn diese nicht mit Dingen wie Bedrohungsmodellierung und IT-Sicherheitstests vertraut sind, wird das nicht einfach auf magische Weise geschehen – selbst wenn Tools vorhanden sind.”

Er rät Security-Verantwortlichen , eine “Roadmap zu erstellen, die die Bausteine umreißt, die vorhanden sein müssen” – beispielsweise eine, die die DevSecOps-Architektur und -Richtlinien anspricht, um IT-Sicherheit frühzeitig effektiv anzugehen und wiederholbare Praktiken schafft.

Jones empfiehlt außerdem, dass Unternehmen einen iterativen Ansatz für ihr Shift-Left-Programm wählen und mit einem Pilotprojekt beginnen. Anschließend sollten sie die Anzahl der Teams und der Software, die den Prozess durchlaufen, erweitern und die Prozesse optimieren, wenn die Teams aus ihrer Shift-Left-Arbeit lernen.

Shift Left: Wird die Sicherheit auf die Entwickler abgewälzt?

William Dupre, Senior Director und Analyst beim Marktforschungsunternehmen Gartner, sagt, dass er den Begriff “Shift Left” nicht verwenden möchte. Er bevorzugt den Begriff DevSecOps. Seiner Meinung nach ist dieser nicht nur mit shift-left austauschbar, sondern er drückt auch besser, aus was mit dem Konzept erreicht werden soll: Entwickler und Betriebsteams arbeiten gemeinsam mit der IT-Sicherheitsabteilung, um sichere und hochwertige Softwareprodukte zu gewährleisten. Der Gartner-Experte fügt hinzu: “Es geht mehr darum, die Sicherheit in den Prozess zu integrieren.”

Sorge vor verlangsamter Entwicklung

Viele Unternehmen befürchten, dass die Entwicklung und Bereitstellung von Softwareprodukten, neuen Funktionen und Funktionserweiterungen durch Shift Left verlangsamt werden könnte. Die Sorge besteht dabei nicht nur bei den Entwicklern, sondern auch bei den Führungskräften.

Laut France von ISC2 wurzeln ihre Bedenken in den Erfahrungen der Vergangenheit, als der Code am Ende der Entwicklung einer Sicherheitsüberprüfung unterzogen werden musste – ein Zeitplan, der in der Tat zu Verzögerungen führen kann. “Das ist eine Erfahrung, die viele gemacht haben. Und das ist eine festgefahrene Position, die wir überwinden müssen”, so der Sicherheitschef.

France fordert CISOs dazu auf, zu zeigen, dass ein Shift-Links-Ansatz sowohl Security als auch Geschwindigkeit unterstützen kann. “Es geht darum, mit einem niedrigen und langsamen Ansatz zu arbeiten und dann die Vorteile aufzuzeigen”.

Keine Anreize für Wandel

Entwickler, Sicherheitsexperten und ihre Manager müssen nicht nur Bedenken hinsichtlich der Geschwindigkeit ausräumen, sondern auch eingefahrene Arbeitsweisen überwinden. “Für die Teams ist dies ein großer Bewusstseinswandel”, betont Marks und erklärt, dass sie bei der Umstellung auf DevSecOps neue Prozesse und Tools annehmen müssen.

Marks und andere sind der Meinung, dass die Führungskräfte von Unternehmen diesen Teams die richtigen Anreize geben sollten, um anders zu arbeiten und die IT-Sicherheit so früh wie möglich in den Entwicklungsprozess einzubinden.

Die Security sollte einen Anreiz erhalten, “zu skalieren und Schritt zu halten”, sagt Marks. Gleichzeitig sollten die Entwickler über KPIs für die IT-Sicherheit verfügen – etwas, das sie traditionell nicht hatten.

“Wenn man als Entwickler keinen Anreiz hat, mehr Zeit in die IT-Sicherheit zu investieren, wird die Bereitschaft dazu eingeschränkt”, sagt Ankit Gupta, Practice Director bei der Everest Group. Die Marktforscherin rät Unternehmen, über “integrierte KPIs” nachzudenken. Dadurch seien alle Mitglieder von Produkt- und DevSecOps-Teams sowie alle anderen Beteiligten gemeinsam dafür verantwortlich, die Erwartungen an die Markteinführung, Leistung und Sicherheit eines Softwareprodukts zu erfüllen.

Lesetipp: DevSecOps – So gelingt sichere Softwareentwicklung

Fehlende Talente und Schulungen

Ein weiterer wesentlicher Faktor für den Erfolg von DevSecOps/Shift Left ist die Einstellung der richtigen Talente. Das ist jedoch nicht immer der Fall, kritisiert Keatron Evans, Vizepräsident für Portfolio- und Produktstrategie beim Cybersecurity-Schulungsunternehmen Infosec.

Auch wenn Entwickler im Rahmen eines Shift-Left-Ansatzes nicht für die IT-Sicherheit verantwortlich sein sollten, sollten sie dennoch verstehen, welche Risiken bestehen und wie der Code ausgenutzt wird, meint Evans. Damit sei gewährleistet, dass sie während des gesamten Entwicklungszyklus effektiv mit Sicherheitsexperten zusammenarbeiten können

Er und andere Experten sind der Meinung, dass die Lösung ganz einfach ist: Sie sollten sich verpflichten, angemessene Schulungen anzubieten. Gartner-Analyst Dupre plädiert außerdem dafür, dass CISOs nach Sicherheitsbeauftragten suchen und diese befähigen sollten – “ein Tester, ein Entwickler, ein Analyst, ein Projektmanager, jeder, der die Frage ‘Denken Sie an die Security?’ stellt” – und einen Weg finden, dieses Sicherheitsdenken zu kultivieren, zu fördern und zu belohnen.

Gleichzeitig betont Evans, dass Unternehmen die IT-Sicherheitsexperten in den Prozess einbinden müssen – “sonst ist es nur DevOps. DevSecOps funktioniert am besten, wenn man einen Sicherheitsexperten hat und nicht nur einen Entwickler, der ein wenig Sicherheitswissen hat”, fügt er hinzu.

Ohne diese Aufmerksamkeit für Talente, so die Experten, werden Entwicklung, Sicherheit und Betrieb wahrscheinlich wieder in ihren eigenen Silos arbeiten.

Probleme mit Tools

CISOs verfügen über eine wachsende Liste von Technologien, die einen Shift-Left-Ansatz unterstützen können. Dazu zählen Tools für die Bedrohungsmodellierung, statische Anwendungstests, dynamische Anwendungstests und alle Arten von Scans.

Zusammen mit der Automatisierung machen es solche Technologien für DevOps-Teams sicherlich einfacher, Security erfolgreich einzubinden.

Aber laut Experten reicht es nicht aus, solche Technologien zu implementieren. Vielmehr muss die der oder die IT-Sicherheitsbeauftragte Tools auswählen, die gut mit den Plattformen zusammenarbeiten, die die Entwickler bereits verwenden – oder sich sogar dafür entscheiden, die bereits in diese Entwicklungsplattformen eingebetteten Sicherheits-Features zu nutzen.

Der Security-Verantwortliche muss auch den Einsatz dieser Tools im Entwicklungsprozess reibungslos gestalten, vor allem zu Beginn, da die DevSecOps-Teams schnell mit Alarmen überflutet werden könnten und einige dadurch vom Shift-Links-Prozess abgeschreckt werden.

“Manchmal stellen Unternehmen dem Team einfach Tools zur Verfügung und sagen: ‘Kümmert ihr euch darum'”, so Dupre. “Und wenn man es zum ersten Mal macht, melden die Scanning-Tools eine Menge Schwachstellen; vor allem, wenn es Produkte schon seit Jahrzehnten gibt, erhält man Berge von Schwachstellen, und das kann in den Teams Ängste auslösen.”

Um dem entgegenzuwirken, müssen die Sicherheitsverantwortlichen den DevSecOps Anweisungen geben, damit sie wissen, wie sie die Schwachstellen auf der Grundlage der Risikofaktoren des Unternehmens einordnen können, erklärt der Gartner-Analyst. Die Führungskräfte müssen auch sicherstellen, dass die Teams ein klares Verständnis dafür haben, dass die IT-Sicherheit für die Priorisierung der zu behebenden Schwachstellen verantwortlich ist, während die Entwickler für die Behebung dieser Schwachstellen zuständig sind.

Eingeschränkte Sichtweise

Da immer mehr Entwicklungsteams in Unternehmen eine Shift-Links-Strategie anwenden, plädieren IT-Sicherheitsverantwortliche dafür, die Sicherheit noch weiter auszudehnen.

“Jetzt geht es nicht mehr nur um Shift Left, sondern auch um Shift Right”, sagt Gupta. “Wenn also die Tests abgeschlossen sind und die Anwendung in Produktion ist, wie kann man dann zu kontinuierlichen Tests und Beobachtbarkeit übergehen? Im Grunde geht es darum, wie umfassend man sein kann, um sicherzustellen, dass sich die Produktqualität im Laufe der Zeit verbessert und dass mein Produkt nach der Bereitstellung robust ist.”

Marks teilt diese Sichtweise und plädiert ebenfalls dafür, dass CISOs und ihre Teams nicht nach links oder rechts denken, sondern Sicherheit als “unendlich, kontinuierlich, eher wie einen Kreis” betrachten. Sie fügt hinzu: “Entwickler haben es eilig, Anwendungen zu erstellen und bereitzustellen, und dann heißt es: Update, Update, Update. Wie also kann die Security damit Schritt halten? Dazu braucht man ein Strategieprogramm, das den gesamten Lebenszyklus umfasst. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.