{"id":54926,"date":"2018-11-08T08:00:02","date_gmt":"2018-11-08T07:00:02","guid":{"rendered":"http:\/\/e3mag.com\/?p=54926"},"modified":"2025-07-18T11:10:51","modified_gmt":"2025-07-18T09:10:51","slug":"devsecops-mittendrin-statt-nur-dabei","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/devsecops-mittendrin-statt-nur-dabei\/","title":{"rendered":"DevSecOps – Mittendrin statt nur dabei"},"content":{"rendered":"

Wir erinnern uns: Mit dem Vortrag \u201e10+ Deploys per Day: Dev and Ops Cooperation\u201c hat Flickr 2009 ein gro\u00dfes Umdenken bei den Entwicklungsprozessen angesto\u00dfen.Zu diesem Zeitpunkt waren Entwicklung und Operations strikt getrennt und den Betriebsteams wurde am Ende des Entwicklungsprozesses ein \u201efertiges\u201c Produkt zum Betrieb \u00fcbergeben. Fehler, die sich erst im Betrieb manifestieren, wurden an das Entwicklungsteam gemeldet, das diese dann \u2013 au\u00dferhalb der Betriebsumgebung \u2013 gefixt hat.<\/p>\n

Diese zeitaufw\u00e4ndige Methodologie hat sich gerade im Bereich der Web-Anwendungsentwicklung als Flaschenhals und Innovationskiller erwiesen. Mit DevOps sollen Entwickler und Betrieb nun im gleichen Boot sitzen und Updates in kleineren Einheiten und viel, viel k\u00fcrzeren Zyklen in die produktive Umgebung \u00fcbernehmen (\u201edeployen\u201c).Dazu werden viele Aufgaben weitestgehend automatisiert und permanent (\u201econtinous\u201c) im Hintergrund ausgef\u00fchrt. Fehler werden somit fr\u00fcher erkannt und adressiert. Der gesamte Prozess von der Entwicklung bis zum Betrieb soll wortw\u00f6rtlich \u201eagiler\u201c und damit schneller werden.<\/p>

\"Fullsize\"<\/a><\/div><\/div>\n

SAP und DevOps<\/h2>\n

Laut der \u201eTrendstudie DevOps 2017\u201c nutzen in Deutschland erst etwas mehr als die H\u00e4lfe der Unternehmen DevOps und sie stehen dabei in vielen F\u00e4llen noch auf der ersten Stufe, der eigentlichen Implementierung von DevOps. Im SAP-Umfeld, das traditionell noch viel st\u00e4rker segmentiert ist (OS\/Datacenter, DB, Basis, Anwendung), liegt diese Zahl vermutlich noch deutlich darunter. Immerhin gelten bei unternehmenskritischen Anwendungen \u201eNever touch a running system\u201c-Devisen sehr viel st\u00e4rker als bei anderen Web-Anwendungen.<\/p>\n

Auch lassen sich viele der Konzepte von DevOps, z. B. kontinuierliche Integration und automatisierte Unit-Tests, nur schwer in traditionelle SAP-Entwicklungsprozesse integrieren. Somit ist DevOps \u2013 noch bevor es wirklich im SAP-Umfeld angekommen ist \u2013 schon wieder \u00fcberholt oder vielmehr erg\u00e4nzt worden.<\/p>\n

Denn wenn Security ein Kriterium f\u00fcr den Betrieb von Anwendungen wird und genauso wie zuvor funktionale Defekte das Potenzial hat, die Ergebnisse des agilen DevOps-Prozesses zur\u00fcck ans Rei\u00dfbrett zu schicken, dann sollte auch Security fr\u00fch in den Entwicklungsprozess eingebunden werden.<\/p>\n

Sicherheitsl\u00fccken fr\u00fchzeitig verhindern<\/h3>\n

Genau diesen Ansatz verfolgt DevSecOps. Security-Experten sollen nicht erst damit betraut werden, das fertige Produkt quasi \u201evon au\u00dfen\u201c abzusichern, sondern die L\u00fccken, die beim Betrieb zu Sicherheitsproblemen werden k\u00f6nnen, bereits \u201eUpstream\u201c, also fr\u00fch im Software Development Lifecycle erkennen und \u2013 idealerweise durch besseren, sichereren Code \u2013 verhindern.<\/p>\n

Selbst wenn sich manche DevOps-Konzepte nicht eins zu eins auf SAP-Entwicklung \u00fcbertragen lassen, bleibt es eine Tatsache, dass sich viele der \u201eCritical\u201c oder gar \u201eHot News\u201c Security Notes der letzten Jahre durch die konsequente Einbindung von Security in den Entwicklungsprozess h\u00e4tten vermeiden lassen k\u00f6nnen. Selbiges gilt nat\u00fcrlich f\u00fcr die durchschnittlich zwei Millionen Zeilen Custom Code, die es in produktiven SAP-Systemen gibt.<\/p>\n

Tools, die viele der agilen DevSecOps-Ans\u00e4tze erst m\u00f6glich machen, gibt es im SAP-Bereich zahlreich: von exzellent integrierten Werkzeugen zur statischen Code-Analyse, Static Code Security Testing (SAST) bis zur Testautomatisierung von Packaged Solutions.<\/p>\n

Solche Tools und die kontinuierliche Kooperation und kombinierte Brainpower von SAP-Entwicklern, Security-Experten und Operations-Teams f\u00fchren zwangsl\u00e4ufig zur Vermeidung vieler offensichtlicher Security-Patzer in Custom Code. Security wird in den Code eingebaut statt von au\u00dfen vorgelagert.<\/p>\n

In Anbetracht der durchschnittlichen Kosten eines SAP-Security-Vorfalls, die laut einer Studie des Ponemon-Institutes bei 4,5 Millionen US-Dollar liegen, sollte also seitens der Unternehmen die Motivation hoch sein, DevSecOps-Konzepte auch auf die SAP-Anwendungsentwicklung anzuwenden. Vielleicht mangelt es aber nur am passenden Buzzword? In diesem Fall werfe ich gerne DevSecSAPOps in den Ring.<\/p>\n","protected":false},"excerpt":{"rendered":"

Neue Buzzwords braucht das Land! Nach DevOps ist nun DevSecOps das Hype-Thema du jour und r\u00fcckt endlich auch Security in das Zentrum des Softwareentwicklungs- und Betriebsprozesses.<\/p>\n","protected":false},"author":1510,"featured_media":15608,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[21,7,25552],"tags":[451,236],"coauthors":[22523],"class_list":["post-54926","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","category-meinung","category-mag-1810","tag-devops","tag-sap","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",400,172,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-768x331.jpg",768,331,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-100x43.jpg",100,43,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-480x207.jpg",480,207,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-640x276.jpg",640,276,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-720x310.jpg",720,310,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-960x414.jpg",960,414,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",600,259,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",600,259,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Neue Buzzwords braucht das Land! Nach DevOps ist nun DevSecOps das Hype-Thema du jour und r\u00fcckt endlich auch Security in das Zentrum des Softwareentwicklungs- und Betriebsprozesses.<\/p>\n","category_list_v2":"IT-Security Kolumne<\/a>, Die Meinung der SAP-Community<\/a>, MAG 18-10<\/a>","author_info_v2":{"name":"J\u00f6rg Schneider-Simon, Bowbridge Software","url":"https:\/\/e3mag.com\/de\/author\/joerg-schneider\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/54926","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/1510"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=54926"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/54926\/revisions"}],"predecessor-version":[{"id":152621,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/54926\/revisions\/152621"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/15608"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=54926"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=54926"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=54926"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=54926"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}