DevOps

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

DevOps ist eine Methode, um die Kommunikation, Zusammenarbeit und Integration zwischen der Softwareentwicklung und dem IT-Betrieb zu verbessern.

Ausgangslage

Traditionell sind Softwareentwicklung und IT-Betrieb zwei strikt getrennte Bereiche. Dabei besteht die Gefahr, dass neue Software durch den IT-Betrieb zwar korrekt installiert wird, diese aber nicht wie gewünscht und ohne Fehler funktioniert. Oder es sind keine genauen Vorgaben zur Installation vorhanden, sodass der IT-Betrieb selbst herausfinden muss, was genau zu tun ist. Dadurch dass die Softwareentwickler wiederum keinen direkten Zugriff auf die Produktivumgebung besitzen, können sie lediglich indirekte Informationen über Probleme im Verhalten der installierten Software erhalten.


Zielsetzung

Die im Jahr 2009 auf einer Konferenz in Belgien erstmals vorgestellte DevOps-Methode, ein Schachtelwort aus Development und Operations, hat das Ziel, die Lücke zwischen der Softwareentwicklung und dem IT-Betrieb zu beseitigen, indem sie die Kommunikation, Zusammenarbeit und Integration zwischen den beiden Bereichen verbessert. So sollen die Umsetzung beschleunigt, Fehler minimiert, der Betrieb stabilisiert und die IT-Wertschöpfung insgesamt erhöht werden. Die Softwareverteilung (Deployment) ist in der Methode ein zuverlässiger, häufig ausgeführter und wiederholbarer Prozess. Die Qualität der Software soll laufend überwacht werden und die Beteiligten sollen verstärkt Feedback geben.


Konsequenzen für die Sicherheit

DevOps kann mit einem Sicherheitsgewinn verbunden sein, zum Beispiel durch Verbesserungen bei Kontrolle, Nachvollziehbarkeit und Transparenz. Es sind aber auch spezifische Risiken zu beachten[1] :

  • Die Trennung zwischen Softwareentwicklung und IT-Betrieb darf nicht vollständig aufgehoben werden, da dies auch zu Verstößen gegen Compliance-Vorgaben, wie PCI-DSS und ISO 27001, führen würde.
  • Manipulationen bei DevOps eher durchgeführt werden, Da die Entwickler meist Schreibrechte auf Produktionssysteme erhalten, entstehen neue Manipulationsmöglichkeiten.
  • Die kürzeren Zyklen für die Softwareverteilung durch die häufigeren Änderungen im Programmcode können dazu führen, dass Tests reduziert werden.


DevSecOps

Die Erweiterung von DevOps um Security-Belange wird neuerdings mit dem Schachtelwort DevSecOps bezeichnet[2].


Einzelnachweis

  1. Ausführlich hierzu: Stefan Beißel „DevOps aus Sicherheitsperspektive“ in <kes> - Die Zeitschrift für IT-Sicherheit 2014#6
  2. "DevOps: Studie zeigt Nachholbedarf beim Security-Wissen" in heise.de/Security vom 17.August.2017


Siehe auch



Diese Seite wurde zuletzt am 17. August 2017 um 21:27 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl.

Anzeigen