Wie praxistauglich ist “DevSecOps" wirklich? – Ein Erfahrungsbericht

DevOps beschreibt das Prinzip der Zusammenführung zweier eigentlich getrennt arbeitender Teams im Rahmen der agilen Softwareentwicklung. Ziel ist die Verbesserung der Qualität und vor allem die Beschleunigung der Auslieferung. Die Security wird oft außen vor gelassen. Dies wird im Konzept DevSecOps aufgegriffen und um das Team der Security erweitert. Doch funktioniert das auch in der Praxis?

In diesem Vortrag teilen wir unsere langjährigen Erfahrungen aus einem großen, hochagilen Projekt. Wir zeigen unsere Erfolge, aber auch unsere Fehler im Bereich DevSecOps. Diese Lessons learned helfen Verantwortlichen, Probleme früh zu erkennen und mit Hilfe von Best Practices diesen vorzubeugen

Vorkenntnisse

* Die Besucher sollten grundsätzlich mit dem SDLC, agiler Entwicklung und den damit verbundenen Begriffen und Handlungsweisen vertraut sein.
* Grundlagen-Wissen zum Thema Security wird vorausgesetzt.
* Praktische Erfahrung im Bereich der Implementierung eines SSDLC sind hilfreich, aber nicht zwingend erforderlich.

Lernziele

Der Beitrag hat das Ziel, Teilnehmern einen Einblick in die Schwierigkeiten der Integration von Security in einem hoch agilen Projekt zu geben. Hier spielen nicht nur Budget und das Team- und Projektumfeld eine Rolle, sondern auch die eingesetzte Technologie bzw. Architektur sowie die immer größere Bedeutung von Automatisierung. Die Zusammenarbeit zwischen Entwicklern ("Dev"), Security ("Sec") und dem Betrieb ("Ops"), also das Thema "DevSecOps", das aktuell viel in Diskussion ist, wird hier nicht theoretisch, sondern rein aus der Praxis betrachtet. Oft müssen pragmatische Entscheidungen getroffen oder bereits etablierte Prozesse angepasst werden.
Durch unsere Erfahrungen konnten wir einige knappe und allgemein gültige Best Practices ableiten, die Verantwortliche in derselben Situation unterstützen können, Probleme frühzeitig zu vermeiden oder bereits getroffene Entscheidungen noch einmal zu überdenken. Diese Best Practices werden durch anschauliche Beispiele aus dem laufenden Projekt aufgezeigt.

 

Referenten

 

Maximiliane Zirm Maximiliane Zirm arbeitet als Senior IT-Security Beraterin bei mgm security partners und ist dort die Leiterin des Penetration-Testing-Teams. Zusätzlich ist sie beratend in verschiedenen Softwareprojekten tätig, hält Seminare für Software Entwickler im Bereich der Web Application Security Best Practices und führt Sicherheitsanalysen für Web- und Mobile-Anwendungen durch.

Andreas Birkenfeld Andreas Birkenfeld arbeitet als Projektmanager bei mgm technology partners und koordiniert dort die Entwicklung und den Betrieb einer Digitalen Kollaborationsplattform für einen global agierenden Industrieversicherer. Zusätzlich ist er in der Weiterentwicklung der Versicherungslösung mgm Cosmo tätig und hat als Scrum Master sowie als Product Owner für verschiedene Kunden Lösungen umgesetzt.

Gold-Sponsoren

RIGS IT
WIBU Systems

Silber-Sponsor

RIPS Technologies

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden