So verbesserst du die DevOps-Sicherheit mit Value Stream Management
In sozialen Netzwerken teilen
So verbesserst du die DevOps-Sicherheit mit Value Stream Management
Matt Saunders
18th Januar, 2022
9 Min. Lesezeit
Matt Saunders
18th Januar, 2022
9 Min. Lesezeit
Zum Abschnitt springen
Zum Abschnitt springen
Was funktioniert nicht in Bezug auf Sicherheit?
So kann Value Stream Management helfen
Hole mehr aus deiner DevOps-Sicherheit heraus
Erfahre, wie Value Stream Management es einfacher macht, eine bessere Sicherheit in deine DevOps-Pipeline einzubauen, und welche Vorteile es bieten kann.
Cyberkriminelle sind unerbittlich – sie nutzen kontinuierlich Schwachstellen und Sicherheitslücken im Code aus, die häufig in deiner Software entdeckt werden. Selbst die größten Organisationen sind nicht immun, da auch sie mit dem schnellen Tempo der Updates Schritt halten müssen. Und trotz der Bemühungen der Sicherheitsteams und der beeindruckenden Auswahl an verfügbaren Sicherheitslösungen bleiben Schwachstellen bestehen. Es ist klar, dass die Wahrscheinlichkeit eines Verstoßes umso geringer ist, je mehr du gute Sicherheitspraktiken entwickelst und je mehr Schwachstellen du so früh wie möglich im Software Development Lifecycle (SDLC) beseitigen kannst.
Die DevOps-Sicherheit hat sich bezahlt gemacht. Wenn du einen Security-First-Ansatz verfolgst und Sicherheitstools von Anfang an in die Pipeline einbettest, kannst du Probleme früher erkennen. Aber obwohl es Vorteile hat, die Sicherheit früher im Entwicklungsprozess zu beachten und schnell zu scheitern, gibt es noch einen weiteren Schritt, den wir unternehmen können, um Sicherheitsprobleme hervorzuheben und sicherzustellen, dass sie gelöst werden, bevor es zu spät ist. DevOps-Sicherheitsteams benötigen frühzeitig und häufig Einblicke, um zusammenzuarbeiten und auf die Entwicklung sicherer Software hinzuarbeiten.
In diesem Artikel betrachten wir, was bei der DevOps-Sicherheit nicht funktioniert und wie die Kombination mit Value Stream Management (VSM) hilft, bessere Codes zu erstellen, die den aktuellen Bedrohungen standhalten können.
Was funktioniert nicht mit Sicherheit?
Selbst mit einer Security-First-Denkweise und den entsprechenden Tools und Praktiken wirst du im Laufe der Zeit wahrscheinlich eine Reihe von Problemen mit deiner Sicherheitsstrategie feststellen. Egal, ob es sich um mangelndes Wissen, schlechte Sichtbarkeit oder Prozessprobleme handelt, es gibt immer Raum für Verbesserungen. Lass uns zuerst einen Blick auf einige der häufigsten Probleme werfen.
Schlechte End-to-End-Sichtbarkeit
Sicherheitsteams benötigen so schnell wie möglich eine gute Echtzeit-Transparenz in Bezug auf Code-Schwachstellen, damit sie sofort handeln und den Code aktualisieren können, während er sich durch die Pipeline bewegt. Mit End-to-End-Transparenz hat jeder das gleiche Situationsbewusstsein. Anstatt sich auf das Feedback des Betriebsteams zu verlassen, können Entwicklerteams die Parameter, in denen sie arbeiten, besser verstehen, Zeit sparen und Feedbackschleifen verbessern.
Isolierte Teams
Im Laufe der Zeit wird ein Sicherheitsteam auch in der Lage sein, sowohl zwischen Dev-, Ops- und Security-Mitarbeitenden als auch im gesamten Unternehmen zusammenzuarbeiten. Im Moment arbeiten Teams vielleicht noch in Silos und konzentrieren sich auf ihr eigenes Fachgebiet, anstatt sich darauf zu konzentrieren, die Qualität, Geschwindigkeit und Sicherheit in allen Bereichen voranzutreiben und zu verbessern.
Prozessbezogene Probleme
Wenn du dich auf diese neue sicherheitsorientierte Arbeitsweise einstellst, wird es unerwartete Verzögerungen in deiner Pipeline geben. Wenn ein Sicherheitsteam beispielsweise vor der Produktion Schwachstellen findet, muss der Code überarbeitet werden. Dies kann einen großen Folgeeffekt haben und zu Engpässen und Verzögerungen führen.
Wissenslücken
Wenn sich deine Teams mit Sicherheitsaspekten vertraut machen, wird es Wissenslücken geben, die verhindern, dass maximale Effizienz erreicht wird. Zum Beispiel ein mangelndes Verständnis für die Verwendung und Bedeutung von Feedbackschleifen und ein mangelndes Wissen über andere Software-Wertströme im gesamten Unternehmen.
Mangelnde Synchronisierung
Mit einem wachsenden Toolset und immer mehr Beteiligten, die sicherstellen, dass Sicherheit, Compliance und Governance in jeden Code integriert sind, besteht eine hohe Wahrscheinlichkeit, dass der Informationsfluss nicht synchronisiert wird. Ohne Abstimmung riskierst du Nacharbeiten, unnötigen Aufwand und erhebliche Verzögerungen.
Fehlende Metriken
Wenn du Maßnahmen ergreifst, um die Sicherheit stärker in deinen SDLC zu integrieren, musst du sicherstellen, dass du auch die relevanten Metriken überwachst. Das Fehlen spezifischer Sicherheitsmetriken und der Tools, um sie zu analysieren und umsetzbare Erkenntnisse daraus zu gewinnen, könnte Probleme bereiten – du wirst keine Ahnung haben, ob sich deine Sicherheitsbemühungen auszahlen und wo du Verbesserungen vornehmen kannst.
So kann Value Stream Management helfen
VSM ist eine schlanke Geschäftspraxis, die den Wert der Softwareentwicklung sowie der Lieferbemühungen und -ressourcen bestimmt. VSM-Plattformen bieten dir Echtzeit-Daten und Analysetools, um den Ablauf zu verbessern und die Verbesserungsinitiativen deines Unternehmens zu unterstützen. Sie beinhalten das Value Stream Mapping, eine Technik, die dir hilft, den Wertfluss über eine Reihe von End-to-End-Aktivitäten hinweg zu visualisieren, zu identifizieren und kontinuierlich zu verbessern.
Mit VSM kannst du nachvollziehen, wie lange es dauert, um Kunden einen Mehrwert zu bieten, Einblicke erhalten, wo du Verschwendung verursachst, und die Wertschöpfung beschleunigen. Du kannst Informationen für datengesteuerte Gespräche in deinem Unternehmen bereitstellen und die Rückverfolgbarkeit sicherstellen. Außerdem kannst du abschätzen, welchen Wert deine Arbeit liefern wird, und Überlegungen für die zukünftige Arbeit entwickeln. Ganz zu schweigen von der Fähigkeit, Feedbackschleifen zu verbessern und zu beschleunigen.
Die Kombination dieses Ansatzes mit deiner DevOps-Sicherheitsstrategie hilft, Schwachstellen schnell und effektiv zu beseitigen. Hier sind drei großartige Möglichkeiten, wie Value Stream Management die Sicherheitsprozesse verbessern kann.
Kontinuierliche Feedbackschleifen
Mit Daten aus DevOps-Sicherheitstools hast du ein viel detaillierteres Verständnis der Schwachstellen deines Wertstroms. Anstatt sich ausschließlich auf Daten nach einem Verstoß zu verlassen, die analysiert und abgebaut werden können, um ähnliche Verstöße in der Zukunft zu verhindern, bietet ein VSM-Ansatz jedem Zugang zu Echtzeitinformationen darüber, welche Schwachstellen sofort ausgenutzt wurden. Dies schafft eine effektivere Feedbackschleife – vom Betriebsteam bis hin zum Entwicklungs- und Sicherheitspersonal. Sicherheitsprobleme werden dann an der Quelle behandelt.
Automatisiere den Wertstrom bei Sicherheitsproblemen
Das frühere Einbinden von Sicherheit in den SDLC – auch bekannt als „Shift-Left“ – wird einen großen Unterschied machen, aber damit dies funktioniert, muss Automatisierung akzeptiert werden. Das Ausführen von Sicherheitsscans in Echtzeit, insbesondere bei einem Code, bevor er eingereicht wird, trägt dazu bei, dass Schwachstellen so schnell wie möglich erkannt werden und die Software konform ist. Etwas, das mit herkömmlichen Sicherheitsmethoden nicht möglich ist.
Erhalte Einblicke, um mehr zu erreichen
Je mehr Erkenntnisse du zu Beginn deines SDLC hast, desto mehr Vertrauen werden deine Teams und dein Management haben, um Maßnahmen zu ergreifen, Verbesserungen vorzunehmen und etwaige Mängel zu beheben. Alle benötigten Informationen an einem Ort und sofort umsetzbare Erkenntnisse zur Hand zu haben, ist der wahrscheinlichste Weg, um Schwachstellen zu beseitigen. Diese eingehende Berichterstattung und End-to-End-Analyse hat einen weiteren Vorteil – sie liefert dir die Daten, die du brauchst, um die Zustimmung für zukünftige Initiativen zu gewinnen.
Hole mehr aus deiner DevOps-Sicherheit heraus
Ein VSM-Ansatz für DevOps-Sicherheit unterstützt nicht nur Governance und Compliance, sondern trägt auch dazu bei, die Gesamtqualität der von dir erstellten Software zu verbessern und einen noch höheren Mehrwert für deine Kunden zu erzielen. Wenn du mehr über das Value Stream Management erfahren möchtest – wie es mit deiner Sicherheitspipeline zusammenhängt, welche Vorteile es bietet und was du tun musst, um loszulegen – lade noch heute unser kostenloses E-Book herunter.
Verfasst von
Matt Saunders
DevOps Lead
Mit seinem Hintergrund als Linux-Systemadministrator ist Matt eine Autorität in Sachen DevOps. Bei Adaptavist und darüber hinaus setzt er sich für DevOps-Arbeitsweisen ein und hilft Teams dabei, die Leistung von Menschen, Prozessen und Technologien zu optimieren, um Software effizient und sicher zu liefern.