Shift Left Organisation
Effektive Zusammenarbeit in DevSecOps-Teams

Entdecken Sie die Potenziale von DevSecOps

Sichere agile Softwareentwicklung erfordert teamübergreifende Zusammenarbeit. Entdecken Sie die Potenziale von DevSecOps als Treiber für höhere Anwendungssicherheit und bessere Codequalität.

Leitfaden: 10 Tipps für DevSecOps-Teams

Silos aufbrechen – Ineffiziente Prozesse überwinden

In herkömmlichen DevOps Organisationen erfolgen Sicherheitstests und -prüfungen meist weitgehend losgelöst vom Entwicklungsprozess durch eine zentrale Security-Abteilung am Ende des Development Lifecycle.

Die personelle und prozessuale Trennung zwischen DevOps und Security Teams sorgt dafür, dass Sicherheitslücken erst spät erkannt werden, die Aufwände für deren Behebung steigen und sich geplante Releases verzögern. Um diese teuren und ineffizienten Abläufe zu überwinden, müssen Organisationen die bestehenden Silos zwischen Dev-, Sec- und Ops-Teams aufbrechen und neue Formen der Zusammenarbeit etablieren.

DevSecOps-Leitfaden: 10 Tipps zur erfolgreichen Implementierung

Lernen Sie im kostenfreien Leitfaden die zentralen Bausteine einer funktionierenden DevSecOps Organisation kennen und nutzen Sie 10 Praxistipps, um DevSecOps erfolgreich in Ihrem Unternehmen zu implementieren.

Zum Download

Dimensionen der DevSecOps Organisation

Gelebte DevSecOps Praxis ist nicht nur eine Frage der richtigen Tools. Fehlt ein gemeinsames Verständnis über Rollen, Verantwortlichkeiten und Prozessen, bleiben Verhaltensmuster gleich und Maßnahmen laufen ins Leere.

Deshalb muss ein nachhaltiger Veränderungsprozess drei Dimensionen der DevSecOps Organisation adressieren:

 

1. Geteilte Verantwortung

Applikationssicherheit kann nur dann nachhaltig in der Organisation verankert werden, wenn sie als gemeinsame Aufgabe verstanden wird. Ein Bewusstsein für die Bedeutung von Security bei allen am Softwareentwicklungsprozess beteiligten Menschen bildet die Grundlage für eine echte interdisziplinäre Zusammenarbeit.

2. Zusammenarbeit & Prozesse

Indem sich Applikationssicherheit in Richtung Entwicklung verschiebt, steigt dort der Anteil an Security-bezogenen Aufgaben. Um diese nachhaltig in den Entwicklungsprozess zu integrieren, ohne an Geschwindigkeit zu verlieren, müssen Abläufe bis hin zu Meetings angepasst werden. Das umfasst auch die Bereitstellung eines Single Point of Truth zur Bearbeitung von Security Issues.

3. Neue Rollen

Veränderte Aufgaben und Zusammenarbeitsmodelle in der DevSecOps-Organisation erfordern auch neue Rollen: Security Champions in den agilen Entwicklungsteams und dezidierte Ansprechpartner:innen auf Seiten der Security-Experten sorgen dafür, das Security-Knowhow immer dort verfügbar ist, wo es benötigt wird. Gleichzeitig tragen sie dazu bei, dass Wissen und Expertise zwischen verschiedenen Teams geteilt werden.

Unser Ansatz für die DevSecOps Organisationsentwicklung

Organisationen sind unterschiedlich. Deshalb haben wir auch keine Prozess-Schablone, die auf alle Teams gleichermaßen passt. Aber wir haben ein erprobtes Vorgehensmodell, mit dem wir DevSecOps-Prinzipien nachhaltig erfolgreich in Ihrer Organisation verankern:

Phase 1: Bestandsaufnahme

Wir ermitteln den Ist-Zustand Ihrer Organisation. Durch Interviews mit Security-Verantwortlichen und Workshops im Entwicklerteam identifizieren wir Schwachstellen und leiten Maßnahmen ab.

Voraussichtlicher Zeitaufwand: 1-2 Tage

Phase 2: Awareness & Befähigung

In interdisziplinären DevSecOps Trainings und Schulungen schaffen wir ein Bewusstsein für Security als gemeinsame Verantwortung aller Beteiligen am Softwareentwicklungsprozess.

Voraussichtlicher Zeitaufwand: 2-3 Tage

Phase 3: DevSecOps-Praktiken

Wir begleiten ein Pilot-Team bei der Einführung von DevSecOps-Praktiken und unterstützen bei der Integration von Security-bezogenen Aufgaben in den Entwicklungsalltag.

Voraussichtlicher Zeitaufwand: 5-10 Tage

Phase 4: Skalieren

Wir nutzen die Erkenntnisse aus der Pilotphase, um das DevSecOps-Zusammenarbeitsmodell auf weitere Teams innerhalb der Organisation auszurollen und diese zu befähigen.

Voraussichtlicher Zeitaufwand: mind. 2 Tage

Im Blog: Fünf typische Fehler bei der DevSecOps-Einführung

Auf dem Weg zu einer sicheren agilen Softwareentwicklung setzen Organisationen immer häufiger auf Application Security Plattformen. In unserem Blogartikel zeigen wir fünf typische Fehler bei der DevSecOps-Einführung – und wie sie zu vermeiden sind.

Zum Blogartikel "Fünf typische Fehler bei der DevSecOps-Einführung"

Ihr Ansprechpartner

Sie wollen den ersten Schritt in Richtung sichere agile Softwareentwicklung gehen oder benötigen Unterstützung bei der nachhaltigen Verankerung von DevSecOps-Prinzipien in Ihren Entwicklungsteams? Vereinbaren Sie jetzt einen persönlichen Termin - kostenfrei und unverbindlich.

Jan Girlich, Lead Application Pentesting 

People & Skills: Security Enablement für agile Entwicklungsteams

Mehr erfahren

Culture & Leadership: DevSecOps-Kultur & Change Management

Mehr erfahren

Tools & Automation: Security Automation & Continuous Security Testing

Mehr erfahren