Wie praxistauglich ist “DevSecOps" wirklich? – Ein Erfahrungsbericht
DevOps beschreibt das Prinzip der Zusammenführung zweier eigentlich getrennt arbeitender Teams im Rahmen der agilen Softwareentwicklung. Ziel ist die Verbesserung der Qualität und vor allem die Beschleunigung der Auslieferung. Die Security wird oft außen vor gelassen. Dies wird im Konzept DevSecOps aufgegriffen und um das Team der Security erweitert. Doch funktioniert das auch in der Praxis?
In diesem Vortrag teilen wir unsere langjährigen Erfahrungen aus einem großen, hochagilen Projekt. Wir zeigen unsere Erfolge, aber auch unsere Fehler im Bereich DevSecOps. Diese Lessons learned helfen Verantwortlichen, Probleme früh zu erkennen und mit Hilfe von Best Practices diesen vorzubeugen
Vorkenntnisse
* Die Besucher sollten grundsätzlich mit dem SDLC, agiler Entwicklung und den damit verbundenen Begriffen und Handlungsweisen vertraut sein.
* Grundlagen-Wissen zum Thema Security wird vorausgesetzt.
* Praktische Erfahrung im Bereich der Implementierung eines SSDLC sind hilfreich, aber nicht zwingend erforderlich.
Lernziele
Der Beitrag hat das Ziel, Teilnehmern einen Einblick in die Schwierigkeiten der Integration von Security in einem hoch agilen Projekt zu geben. Hier spielen nicht nur Budget und das Team- und Projektumfeld eine Rolle, sondern auch die eingesetzte Technologie bzw. Architektur sowie die immer größere Bedeutung von Automatisierung. Die Zusammenarbeit zwischen Entwicklern ("Dev"), Security ("Sec") und dem Betrieb ("Ops"), also das Thema "DevSecOps", das aktuell viel in Diskussion ist, wird hier nicht theoretisch, sondern rein aus der Praxis betrachtet. Oft müssen pragmatische Entscheidungen getroffen oder bereits etablierte Prozesse angepasst werden.
Durch unsere Erfahrungen konnten wir einige knappe und allgemein gültige Best Practices ableiten, die Verantwortliche in derselben Situation unterstützen können, Probleme frühzeitig zu vermeiden oder bereits getroffene Entscheidungen noch einmal zu überdenken. Diese Best Practices werden durch anschauliche Beispiele aus dem laufenden Projekt aufgezeigt.