#IMOS21: Die kritische Rolle der Kultur in DevSecOps

Cyber Security News

Wie Unternehmen vorgehen sollten, um eine effektive DevSecOps-Kultur zu entwickeln und aufrechtzuerhalten, beleuchtete Patrick Debois, Director of Market Strategy bei Snyk, in einer Session auf dem Infosecurity Magazine Online Summit EMEA 2021.

Debois betonte zunächst, wie wichtig die Kultur eines Unternehmens ist, wenn es darum geht, welche DevSecOps-Strategie eingesetzt werden soll. “Der CEO und die Kultur Ihres Unternehmens werden den Ton angeben, auf welche Bereiche Ihre DevSecOps-Transformation abzielt”, sagte er. Je nach Kontext kann dies einen stärkeren Fokus auf Automatisierung, Metriken, Befähigung oder Befehl und Kontrolle beinhalten.

Er skizzierte dann die verschiedenen verfügbaren “Topologien”, die sich auf die Art der Beziehung zwischen Dev- und Ops-Teams beziehen, mit unterschiedlichen Graden der Nähe. Welcher Typ in einer bestimmten Organisation am besten funktioniert, hängt von der Kultur ab, die sich entwickelt hat, sagte er. Diese kann sich auf fünf Arten manifestieren: Zusammenarbeit von Dev und Ops Vollständig geteilte Ops-Verantwortlichkeiten DevOps mit Verfallsdatum DevOps-Evangelist Container-gesteuerte Zusammenarbeit

Debois fuhr fort und beschrieb drei Modi der Teaminteraktion, die es zu berücksichtigen gilt: Kollaboration: die alltägliche menschliche Zusammenarbeit X-as-a-service: die sich selbst bedienende Automatisierung, die ein Entwickler nutzen kann Facilitating: eine Moderation durch die Teams, um die Zusammenarbeit zu lenken

Er fügte hinzu: “Wenn Sie konstruieren, wie sich Ihre Teams überschneiden, müssen Sie auch darauf achten, wie sie zusammenarbeiten werden.”

Letztendlich ist es nach Ansicht von Debois das Wichtigste, Vertrauen zwischen den jeweiligen Teams aufzubauen und zu gewinnen. Er hob in diesem Zusammenhang vier Schlüsselfacetten hervor: Aufrichtigkeit Verlässlichkeit Kompetenz Pflege

Debois merkte an, dass Kompetenz allein nicht ausreicht. “Deshalb sehe ich DevSecOps als den Aufbau von Vertrauen zwischen beiden Parteien”, kommentierte Debois.

Schließlich wurden die vier Bereiche von DevSecOps wie folgt definiert: Secure Stack: Was wird geliefert und ist das sicher? z. B. Code-Abhängigkeiten Sichere Auslieferung: wie wird es ausgeliefert und ist das sicher? z. B. ist die Integrität des Downloads sicher Sicherheits-Governance: Wo das Team sich in die Prozesse des Sicherheitsteams einklinkt Sicherheitsbefähigung: Wie das Team mit der Sicherheit interagiert, um letztlich Sicherheitswissen zu erwerben.

Alle diese Punkte sind miteinander verknüpft, und auf jeden wird ein gleichwertiger Fokus gelegt. Debois schloss: “Man muss sich in all diesen Bereichen spiralförmig hocharbeiten.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com