Nous nous souvenons qu'en 2009, avec la pr\u00e9sentation \"10+ Deploys per Day : Dev and Ops Cooperation\", Flickr a initi\u00e9 un grand changement de mentalit\u00e9 dans les processus de d\u00e9veloppement.A cette \u00e9poque, le d\u00e9veloppement et les op\u00e9rations \u00e9taient strictement s\u00e9par\u00e9s et un produit \"fini\" \u00e9tait remis aux \u00e9quipes d'exploitation pour l'exploitation \u00e0 la fin du processus de d\u00e9veloppement. Les erreurs qui ne se manifestaient qu'au cours de l'exploitation \u00e9taient signal\u00e9es \u00e0 l'\u00e9quipe de d\u00e9veloppement, qui les corrigeait ensuite - en dehors de l'environnement op\u00e9rationnel.<\/p>\n
Cette m\u00e9thodologie chronophage s'est av\u00e9r\u00e9e \u00eatre un goulet d'\u00e9tranglement et un tueur d'innovations, en particulier dans le domaine du d\u00e9veloppement d'applications web. Avec DevOps, les d\u00e9veloppeurs et l'entreprise doivent d\u00e9sormais \u00eatre dans le m\u00eame bateau et d\u00e9ployer les mises \u00e0 jour dans l'environnement de production dans des unit\u00e9s plus petites et des cycles beaucoup plus courts, en automatisant au maximum de nombreuses t\u00e2ches et en les ex\u00e9cutant en permanence en arri\u00e8re-plan. Les erreurs sont ainsi d\u00e9tect\u00e9es et trait\u00e9es plus t\u00f4t. L'ensemble du processus, du d\u00e9veloppement \u00e0 l'exploitation, doit litt\u00e9ralement devenir plus \"agile\" et donc plus rapide.<\/p>\n
Selon \"l'\u00e9tude de tendance DevOps 2017\", un peu plus de la moiti\u00e9 des entreprises allemandes utilisent DevOps et, dans de nombreux cas, elles en sont encore \u00e0 la premi\u00e8re \u00e9tape, celle de l'impl\u00e9mentation proprement dite de DevOps. Dans l'environnement SAP, qui est traditionnellement beaucoup plus segment\u00e9 (OS\/datacenter, DB, Basis, application), ce chiffre est probablement encore nettement inf\u00e9rieur. Toujours est-il que les devises \"Never touch a running system\" s'appliquent beaucoup plus aux applications critiques qu'aux autres applications web.<\/p>\n
De plus, de nombreux concepts de DevOps, tels que l'int\u00e9gration continue et les tests unitaires automatis\u00e9s, sont difficiles \u00e0 int\u00e9grer dans les processus de d\u00e9veloppement SAP traditionnels. Ainsi, DevOps est d\u00e9j\u00e0 d\u00e9pass\u00e9, ou plut\u00f4t compl\u00e9t\u00e9, avant m\u00eame d'\u00eatre vraiment arriv\u00e9 dans l'environnement SAP.<\/p>\n
Car si la s\u00e9curit\u00e9 devient un crit\u00e8re pour l'exploitation des applications et qu'elle a le potentiel, tout comme les d\u00e9fauts fonctionnels auparavant, de renvoyer les r\u00e9sultats du processus DevOps agile \u00e0 la planche \u00e0 dessin, alors la s\u00e9curit\u00e9 devrait \u00e9galement \u00eatre int\u00e9gr\u00e9e t\u00f4t dans le processus de d\u00e9veloppement.<\/p>\n
C'est pr\u00e9cis\u00e9ment l'approche que poursuit DevSecOps. Les experts en s\u00e9curit\u00e9 ne doivent pas d'abord \u00eatre charg\u00e9s de s\u00e9curiser le produit fini quasiment \"de l'ext\u00e9rieur\", mais d'identifier les lacunes qui peuvent devenir des probl\u00e8mes de s\u00e9curit\u00e9 lors de l'exploitation, d\u00e9j\u00e0 \"en amont\", c'est-\u00e0-dire t\u00f4t dans le cycle de vie du d\u00e9veloppement logiciel, et de les emp\u00eacher - id\u00e9alement par un code meilleur et plus s\u00fbr.<\/p>\n
M\u00eame si certains concepts DevOps ne peuvent pas \u00eatre appliqu\u00e9s tels quels au d\u00e9veloppement SAP, il n'en reste pas moins que de nombreuses notes de s\u00e9curit\u00e9 \"critiques\" ou m\u00eame \"chaudes\" de ces derni\u00e8res ann\u00e9es auraient pu \u00eatre \u00e9vit\u00e9es en int\u00e9grant syst\u00e9matiquement la s\u00e9curit\u00e9 dans le processus de d\u00e9veloppement. Il en va de m\u00eame pour les deux millions de lignes de code personnalis\u00e9 que l'on trouve en moyenne dans les syst\u00e8mes SAP en production.<\/p>\n
Les outils qui rendent possibles de nombreuses approches DevSecOps agiles sont nombreux dans le domaine SAP : des outils parfaitement int\u00e9gr\u00e9s pour l'analyse statique du code, le Static Code Security Testing (SAST) jusqu'\u00e0 l'automatisation des tests des solutions packag\u00e9es.<\/p>\n
De tels outils, associ\u00e9s \u00e0 la coop\u00e9ration continue et \u00e0 la puissance intellectuelle combin\u00e9e des d\u00e9veloppeurs SAP, des experts en s\u00e9curit\u00e9 et des \u00e9quipes d'exploitation, permettent in\u00e9vitablement d'\u00e9viter de nombreuses failles de s\u00e9curit\u00e9 \u00e9videntes dans le code personnalis\u00e9. La s\u00e9curit\u00e9 est int\u00e9gr\u00e9e dans le code au lieu d'\u00eatre plac\u00e9e en amont.<\/p>\n
Compte tenu du co\u00fbt moyen d'un incident de s\u00e9curit\u00e9 SAP, qui s'\u00e9l\u00e8ve \u00e0 4,5 millions de dollars US selon une \u00e9tude du Ponemon Institute, les entreprises devraient donc \u00eatre tr\u00e8s motiv\u00e9es pour appliquer les concepts DevSecOps au d\u00e9veloppement d'applications SAP. Mais peut-\u00eatre n'y a-t-il pas de mot \u00e0 la mode ? Dans ce cas, je lance volontiers DevSecSAPOps dans le ring.<\/p>","protected":false},"excerpt":{"rendered":"
Le pays a besoin de nouveaux mots \u00e0 la mode ! Apr\u00e8s DevOps, DevSecOps est le sujet \u00e0 la mode du jour et place enfin la s\u00e9curit\u00e9 au c\u0153ur du processus de d\u00e9veloppement et d'exploitation des logiciels.<\/p>","protected":false},"author":1510,"featured_media":15608,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[21,7,25552],"tags":[451,236],"coauthors":[22523],"class_list":["post-54926","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","category-meinung","category-mag-1810","tag-devops","tag-sap","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",400,172,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-768x331.jpg",768,331,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-100x43.jpg",100,43,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-480x207.jpg",480,207,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-640x276.jpg",640,276,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-720x310.jpg",720,310,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-960x414.jpg",960,414,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",600,259,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",600,259,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"
Neue Buzzwords braucht das Land! Nach DevOps ist nun DevSecOps das Hype-Thema du jour und r\u00fcckt endlich auch Security in das Zentrum des Softwareentwicklungs- und Betriebsprozesses.<\/p>\n","category_list_v2":"IT-Security Kolumne<\/a>, Die Meinung der SAP-Community<\/a>, MAG 18-10<\/a>","author_info_v2":{"name":"J\u00f6rg Schneider-Simon, Bowbridge Software","url":"https:\/\/e3mag.com\/fr\/author\/joerg-schneider\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/54926","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/1510"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=54926"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/54926\/revisions"}],"predecessor-version":[{"id":152621,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/54926\/revisions\/152621"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/15608"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=54926"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=54926"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=54926"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=54926"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}