Was ist Sicherheit, die Entwickler(innen) in den Mittelpunkt stellt?

Eine aktuelle Umfrage von Forrester Research, „Breaches By The Numbers: Adapting To Regional Challenges Is Imperative“, vom 12. April 2022 zeigte, dass 63 % der Unternehmen im letzten Jahr von einem Sicherheitsvorfall betroffen waren, was 4 % mehr als im Jahr davor sind. Wichtig ist auch zu wissen, dass Code derzeit das primäre Ziel ist und nicht mehr die Infrastruktur. Um das Ganze noch komplizierter zu machen, deuten einige Schätzungen darauf hin, dass gut 60 % aller Anwendungen aus Open-Source-Code bestehen – andere Schätzungen gehen gar von 80 % oder 90 % aus. Open-Source-Code enthält von Natur aus eher Schwachstellen oder bösartigen Code als Code, der von Grund auf neu erstellt wurde. Dennoch ist er eine verständliche Wahl für vielbeschäftigte Entwickler(innen), die hochwertigen Code liefern und dabei immer kürzere Fristen einhalten müssen.

Jahrelang war Sicherheit ein eigener Teilbereich, der erst ins Spiel kam, nachdem der Code committed wurde, um Sicherheitslücken zu finden und Änderungen von den (verständlicherweise nicht sonderlich begeisterten) Entwickler(innen) zu fordern, die bereits mit dem nächsten Projekt beschäftigt waren. Sicherheit war nicht nur nachgelagert, sie wurde auch von oben herab bestimmt und von Menschen diktiert, die weit weg von den Herausforderungen in der Entwicklung waren. Es ist nicht schwer zu verstehen, warum dieser Ansatz eine große Quelle für Frustration bei allen Beteiligten war.

Das Ziel von DevSecOps war es, die Silos, die mit der Einführung von DevOps schon langsam ins Wanken kamen, gänzlich aufzubrechen – jetzt arbeiten Entwicklung, Betrieb und Sicherheit gänzlich zusammen. Es ist noch nicht lange her, aber unsere globale DevSecOps-Umfrage von 2022 zeigte vielversprechende Anzeichen: Fast 29 % der Sicherheitsexpert(inn)en gaben an, dass sie jetzt Teil eines funktionsübergreifenden Sicherheitsteams sind, und 57 % der Mitglieder des Sicherheitsteams gaben an, dass ihre Unternehmen die Sicherheit entweder verlagert haben oder dies in diesem Jahr planen.

Die Spannungen zwischen den Entwickler(inne)n und den Sicherheitsteams bleiben bestehen, aber es gibt Anzeichen dafür, dass sich die Beziehungen verbessern. Im Jahr 2022 beschwerten sich weniger Sicherheitsexpert(inn)en über Sicherheitslücken, die spät im Lebenszyklus der Softwareentwicklung identifiziert wurden, oder über Schwierigkeiten, Entwickler(innen) dazu zu bringen, Sicherheitsrisiken anzugehen.

Auf der Seite der Entwickler(innen) gab über die Hälfte an, dass sie „voll verantwortlich“ für die Sicherheit in ihrem Unternehmen seien, während weitere 39 % sagten, sie fühlen sich als Teil eines größeren Teams für die Sicherheit verantwortlich.

Um diesen Teufelskreis zu durchbrechen, sagen Expert(inn)en, dass es an der Zeit ist, über kontextbezogene Sicherheit bzw. Sicherheit, die Entwickler(innen) in den Mittelpunkt stellt, nachzudenken. Kurz gesagt: Bei Sicherheit, die Entwickler(innen) in den Mittelpunkt stellt, erhalten die Entwickler(innen) „entwicklerfreundliche“ Sicherheitstools in der IDE, mit denen sie ganz einfach Sicherheitsprobleme aufdecken und beheben können. Idealerweise sind diese Sicherheitskontrollen automatisiert, sodass vielbeschäftigte Entwickler(innen) nicht einmal über die Sicherheitsanforderungen nachdenken müssen, um sicheren Code zu erstellen – das Ganze erfolgt ganz einfach im Rahmen des Programmierprozesses.

Der Schlüssel zum Erfolg von Sicherheit, die Entwickler(innen) in den Mittelpunkt stellt, ist ein Perspektivenwechsel auf beiden Seiten. Sicherheitsexpert(inn)en müssen sich in Erinnerung rufen, dass Entwickler(innen) viele Aufgaben zu meistern haben (Programmieren, Testen, Sicherheit und sogar einige betriebliche Aufgaben). Angesichts dessen ist es wichtig, dass Sicherheitsprofis sich Zeit nehmen, um zu verstehen, was Entwickler(innen) tun müssen – und vielleicht sogar selbst programmieren lernen – um ihnen die notwendige Schulung, Ermutigung und Empathie zu bieten. Gleichzeitig müssen Entwickler(innen) offen für Änderungen sein und sich auf die Möglichkeit freuen, sinnvoll zur Codesicherheit beizutragen.

Bei der Integration von Sicherheit ins Entwicklungsteams muss sichergestellt werden, dass die Teams über die richtige Mischung aus Kompetenzen verfügen. Eine kollegiale Umgebung trägt stark dazu bei, dass Bemühungen für einen Sicherheitsansatz, der die Entwickler(innen) in den Mittelpunkt stellt, auch wirklich erfolgreich sind.