5.558 IT-Experten geben Aufschluss über die Merkmale hochleistungsfähiger DevSecOps-Verfahren

Sonatype,  Erfinder Software Supply Chain-Automatisierung, veröffentlicht heute die Ergebnisse seiner sechsten jährlichen DevSecOps Community-Umfrage unter 5.558 IT-Experten. Damit ist dies die bislang größte durchgeführte DevOps-Studie. Die in Zusammenarbeit mit CloudBees, Carnegie Mellon’s Software Engineering Institute, Signal Sciences, 9th Bit und Twistlock entwickelte Umfrage offenbart ein neues Gesamtbild dessen, wie Unternehmen mit hochleistungsfähigen DevSecOps-Programmen angesichts der zunehmenden Attacken böswilliger Angreifer dastehen.

Im Zuge der rasanten Weiterentwicklung von DevOps-Verfahren automatisieren Spitzenunternehmen die Sicherheit früher im Entwicklungszyklus und handhaben Software Supply Chains als wesentliches Unterscheidungsmerkmal gegenüber ihren Mitbewerbern.  Die Umfrageergebnisse haben gezeigt, dass Organisationen mit hochleistungsfähigen DevSecOps-Programmen anderen Unternehmen in vielen Bereichen bei weitem überlegen sind.

Dazu gehören die folgenden Einflussfaktoren:

  • DevOps Automatisierung – Bei erstklassigen DevSecOps-Praktiken ist die Wahrscheinlichkeit, dass sie vollständig integrierte und automatisierte Sicherheitsverfahren innerhalb der gesamten DevOps-Pipeline einsetzen, um 700 % höher. Sie weisen darüber hinaus vermehrte Feedback-Schleifen auf, die es ermöglichen, Sicherheitsprobleme direkt aus den Tools heraus zu identifizieren.
  • Open-Source-Kontrollen – 62 % der Befragten mit hervorragenden DevSecOps-Programmen verfügen über eine Open-Source-Governance-Richtlinie, die mithilfe der Automatisierung eingehalten wird, im Vergleich zu lediglich 25 % der Befragten ohne DevOps-Praktiken.
  • Container-Kontrollen – 51 % der Befragten mit hochleistungsfähigen Verfahren gaben an, dass sie automatisierte Sicherheitsprodukte einsetzen, um Schwachstellen in Containern zu erkennen, im Gegensatz zu nur 16 % der Befragten ohne DevSecOps.
  • Schulungen  – Unternehmen mit hervorragenden DevSecOps-Praktiken bieten Entwicklern dreimal häufiger Schulungen zur Anwendungssicherheit an, als Unternehmen, die keine DevOps-Verfahren einsetzen.
  • Einsatzbereitschaft – 81 % derjenigen, die erstklassige Verfahren einsetzen, verfügen über einen Reaktionsplan zur Cybersicherheit, im Vergleich zu 62 % derjenigen, die keine DevOps-Verfahren nutzen.  

"47 % der von uns befragten Unternehmen gehen mehrmals pro Woche in Produktion, während die Geschwindigkeit ihrer Sicherheitsverfahren ebenfalls zunimmt", sagt Derek Weeks, Vice President und DevOps Advocate von Sonatype. "Die DevSecOps-Community hat uns gezeigt, dass Spitzenunternehmen deutlich weniger manuelle Arbeit verrichten,  Sicherheit nahtlos in die Welt ihrer Entwickler integrieren und besser auf die Beseitigung von Sicherheitslücken – wenn sie auftreten – vorbereitet sind, als diejenigen die keine DevOps-Verfahren im Einsatz haben."

Weitere wichtige Erkenntnisse aus der größten DevOps-Umfrage:

  • 24 % aller Befragten vermuteten oder bestätigten eine Sicherheitslücke in Bezug auf Open Source-Komponenten. Dies bedeutet eine Steigerung um 71 %, seit "Heartbleed" vor 5 Jahren Schlagzeilen machte.
  • 50 % derjenigen mit erstklassigen DevOps-Programmen erstellen eine vollständige Software-Stückliste, die regelmäßig aktualisiert wird, während dieser Anteil bei denjenigen, die keine DevOps-Verfahren anwenden, lediglich bei 19 % liegt.
  • Entwickler sind nach wie vor der Meinung, dass Sicherheit wichtig ist, sie diese jedoch nicht priorisieren können. Dies ist das dritte Jahr in Folge, in dem 48 % der Befragten eingestanden haben, dass Entwickler das Gefühl haben, dass sie keine Zeit dafür haben.
  • 50 % der Befragten, die eine Cloud-Infrastruktur nutzen, gaben an, sich beim Schutz ihrer Cloud lediglich auf den Dienstanbieter zu verlassen.
  • 46 % der Unternehmen ohne DevOps-Verfahren verfügen nicht über verschlüsselte Anmeldeinformationen auf Anwendungsebene. Im Vergleich dazu verschlüsseln 75 % der Unternehmen mit erstklassigen DevSecOps-Verfahren ihre Anmeldeinformationen.

Ressourcen:

Unterstützende Zitate:

"Jedes Unternehmen mit einem DevOps-Framework sollte eine DevSecOps-Mentalität entwickeln", sagt Shawn Ahmed, Vice President of Product Marketing, CloudBees. "Ziel ist es, die Sicherheit als Kernkomponente innerhalb der gesamten Software-Delivery-Pipeline zu betrachten, anstatt sie als nachträglichen Aspekt zu begreifen. Da sich Sicherheitsbedrohungen immer weiter entwickeln, wird deutlich, welchen Wert die Weiterentwicklung zu DevSecOps hat."

"Die wichtigsten DevOps-Prinzipien umfassen ständiges Lernen durch Zusammenarbeit, Automatisierung (CI/CD), Infrastruktur als Code sowie Monitoring und sie gewährleisten effektive und zeitnahe Reaktion auf Sicherheitslücken", so Hasan Yasar, Technical Manager und Adjunct Faculty Member des Carnegie Mellon’s Software Engineering Institute. „Wir alle müssen erkennen, dass Sicherheit etwas Lebendiges ist. Unternehmen sollten darauf vorbereitet sein, Sicherheitsverletzungen jederzeit innerhalb ihres Application Lifecycle zu verhindern und darauf zu reagieren. Es ist schwer vorstellbar, dass ohne den Einsatz von DevSecOps eine ordnungsgemäße Cyber-Sicherheits-Hygiene vorhanden ist und ausreichende Vorkehrungen auf Sicherheitsverletzungen getroffen sind.“

"Ein wichtiger Punkt in der DevSecOps-Community-Umfrage zeigt, dass, egal wie sehr Sie Ihr Team für DevOps optimiert oder Ihren Softwarebereitstellungszyklus beschleunigt haben, es immer noch eine signifikante Diskrepanz gibt zwischen dem, was Sicherheit will und wie alle anderen das verstehen können", sagt James Wickett, Head of Research bei Signal Sciences. "Dies ist eine grundlegende Kommunikationslücke, die viele Entwickler mit der Einschätzung zurücklässt, dass Sicherheit ein Mysterium ist. Diese Lücke muss geschlossen werden. Entwickler benötigen eine schnelle Sicherheitspriorisierung. Sie sollten wissen, ob sie unter Beschuss stehen oder nicht."

Über die Umfrage

Die "2019 DevSecOps Community Survey" bietet einen Einblick in die Einstellung von Software-Fachleuten in Bezug auf DevOps Best Practices und die sich verändernde Rolle der Anwendungssicherheit. Die hier vorgestellten Ergebnisse sind die Antwort auf 41 Fragen, die von Sonatype und Unterstützern der DevOps-Community gestellt wurden, darunter CloudBees, Signal Sciences, Twistlock, Chris Condo und Carnegie Mellon’s Software Engineering Institute. Die Fehlerquote der Umfrage beträgt ± 1,226 Prozentpunkte für 5.558 IT-Experten mit einem Konfidenzniveau von 95 %.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Automatisierte Datenbankmigration mit Liquibase

Agile Entwicklungsprozesse sind heute Standard – mit allen Herausforderungen, die das auch für die Datenbankmigration mit sich bringt.

Softwareentwickler Steve Ulrich erklärt hier, wie die datenbankunabhängige OS-Bibliothek Liquibase dabei hilft, Datenbankschemata automatisiert zu ändern und so die Gesamteffizienz eines Softwareprojektes zu steigern.

https://www.micromata.de/…

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Basis Technologies präsentiert die nächste Generation von DevOps und Testautomatisierung für SAP® Systeme

Basis Technologies, Entwickler der umfassendsten Automatisierungsplattform für DevOps und Testing speziell für SAP-Systeme, gab heute bekannt, dass es seine Technologie der nächsten Generation im Rahmen von bedeutenden Veranstaltungen im Oktober 2018 präsentieren wird, darunter die SAP TechEd 2018 Las Vegas; der DSAG-Jahreskongress 2018 in Leipzig und die SAP TechEd 2018 Barcelona. Viele der weltweit größten Unternehmen verwenden bereits die Automatisierungsplattform von Basis Technologies, um durch kontinuierliche Auslieferung von Änderungen Innovation voranzutreiben.

Im Rahmen dieser Veranstaltungen erfolgt die erste öffentliche Live-Vorführung von Testimony 2.0, der neuesten Version der bahnbrechenden Test-Automatisierungs-Software von Basis Technologies. Mit der Markteinführung von Testimony im Jahr 2017 wurde die Robotic Test Automation (RTA) vorgestellt, eine revolutionäre Technologie, die die Art, wie Unternehmen über Regressionstests für SAP-Software denken, verwandelt. Jetzt bietet Testimony 2.0 Anwendern tiefergehende Einsichten, die Nachbesserungen beschleunigen, was noch größere Zeiteinsparung, Kostensenkung und Risikominimierung mit sich bringt.

Die serverseitige RTA-Engine von Testimony verwendet Bots zur schnellen Bereitstellung einer umfassenden SAP-Regressionstest-Abdeckung, ohne dass dabei eine Script-Erstellung oder –Pflege erforderlich ist. Damit wird ein einzigartiges Maß an Transparenz geboten. Testimony 2.0 bringt neue Funktionen, die auf Kundenwunsch entwickelt wurden und zu einer schnellen und effizienten Interpretation dieser umfangreichen Datensätze beitragen. Testteams stehen jetzt mehr Möglichkeiten zu einer schnellen Analyse von Fehlerursachen zur Verfügung. Auch sind sie besser denn je für eine fundierte Prüfung des wirklichen Unternehmensrisikos ausgerüstet, wenn sie Veränderungen in SAP-Systemen vornehmen.

„Die roboterbasierte Testautomatisierung revolutioniert das Testen in der Welt von SAP durch Beseitigung der teuren herkömmlichen Regressionstestverfahren“, so Martin Metcalf, CEO von Basis Technologies. „Testimony 2.0 stellt eine wesentliche Verbesserung unserer Automatisierungsplattform für DevOps und Testing dar und verschafft unseren Kunden auf dem dynamischen Weltmarkt einen deutlichen Wettbewerbsvorteil.”

Testimony 2.0 wird Seite an Seite mit ActiveControl präsentiert, der marktführenden Change-Automatisierungslösung von Basis Technologies, die bereits von Hunderten von global agierenden Unternehmen implementiert wurde. ActiveControl bietet die erforderliche Flexibilität zur Bereitstellung hochwertiger SAP-Änderung auf Anfrage, ohne dass dabei das Risiko von Betriebsstörungen auftritt. Ebenfalls ermöglicht ActiveControl die Integration von SAP-Anwendungsbereitstellung in ein weiteres Umfeld von nicht-SAP agilen und CI/CD-Prozessen.

Zusammen bilden ActiveControl und Testimony die umfassendste Automatisierungsplattform für SAP Änderungen, die Unternehmen in die Lage versetzt eine „Linksverschiebung“ vorzunehmen und für jeden Release einen vollständigen Regressionstest durchzuführen. Die Fähigkeit, beständig zu testen und mit weniger Ressourcen hochwertige Änderungen vorzunehmen, gewährt Unternehmen die unternehmerische Agilität, die für anhaltende Konkurrenzfähigkeit und Wachstum erforderlich ist.

Basis Technologies präsentiert Testimony 2.0 und ActiveControl auf der SAP TechEd 2018 Las Vegas, 2.-5. Oktober an Stand Nr. 435, auf dem DSAG-Jahreskongress 2018 in Leipzig, 16.-18. Oktober an Stand Nr. L9 und auf der SAP TechEd Barcelona 2018, 23.-25. Oktober an Stand Nr. P22. Alternativ können SAP-Anwender eine kostenlose Demonstration der Produkte über die Webseite von Basis Technologies anfordern.

SAP und weitere SAP-Produkte und –Dienstleistungen, die hier erwähnt werden, sowie die jeweiligen Logos sind Marken oder eingetragene Marken von SAP SE (oder einem SAP-Schwesterunternehmen) in Deutschland und anderen Ländern.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Automatisierung vereinfacht die digitale Transformation

Automatisierung hilft Unternehmen die Herausforderungen der IT zu bewältigen und einen Wettbewerbsvorteil zu erreichen. Ralf Paschen, Automic Software GmbH, zeigt in dem Live-Webinar Fallbeispiele für Continuous Delivery und Automatisierung. Das Webinar findet am 13. März 2018 von 11 bis 12 Uhr statt.

Automatisierung ist eine der tragenden Säulen bei der digitalen Transformation, weil diese es ermöglicht, die zunehmende Komplexität der existierenden Systeme zu beherrschen und alle Arten von Applikationen und Prozessen unabhängig vom Wachstum des Unternehmens skalierbar zu machen. Der Modern-Software-Factory-Ansatz von CA ermöglicht jedem Unternehmen sich in gewisser Weise zu einem Software-Unternehmen zu wandeln und selbst Software anzubieten, um sich dem Wettbewerb zu stellen und selbst agiler und leistungsfähiger zu werden.

Drei Gründe warum sich die Teilnahme an diesem Webinar lohnt:

  • Ralf Paschen stellt Fallbeispiele für Continuous Delivery vor und zeigt wie die Automatisierung Unternehmen geholfen hat, den Gesamtprozess bis hin zur Produktion umzusetzen.
  • Die Teilnehmer erfahren, wie andere Unternehmen Automatisierung einsetzen um wettbewerbsfähig zu sein oder fortschrittlicher als der Wettbewerber.
  • Der Sprecher erklärt, dass Silo-Automatisierung nicht zum Ziel führt und Automatisierung unternehmensweit oder zumindest als Gesamtprozess betrachtet werden muss.

Die Teilnahme an dem Webinar ist kostenlos. Organisiert und moderiert wird das Webinar von der Redaktion it-daily.net.

Interessenten können sich hier anmelden:

https://attendee.gotowebinar.com/register/8742387764938286595

Ansprechpartner:
Ulrich Parthier
it Verlag GmbH, Rudolf-Diesel-Ring 21, 82054 Sauerlach
Telefon: +49-8104-649414, E-Mail: u.parthier@it-verlag.de

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox