Jährlich veröffentlicht Puppet seinen State of DevOps Report und befragt rund 3.000 Teilnehmer zu allen relevanten Themen aus dem DevOps-Universum: Teamstrukturen, Sicherheit und Arbeitsweisen.

Auf der Grundlage der Ergebnisse des State of DevOps Report 2019 hat Puppet eine weitere Analyse durchgeführt. Hierfür wurde der Report hinsichtlich der einzelnen Industriezweige Technologie, Finanzdienstleistung/Versicherungen, Telekommunikation, Einzelhandel und Regierungen analysiert. Die Umfrage untersucht, wie verschiedene Industriezweige den Ausbau von DevOps, inklusive Sicherheitsaspekt, bewerten. Wir haben uns die Ergebnisse des State of DevOps – Industry Report Card einmal genauer angesehen.

State of DevOps: Industry Report Card

DevOps und der Sicherheitsaspekt

Bereits seit dem letzten State of DevOps Report wurde klar: Mit der Verbreitung von DevOps muss auch die Sicherheit optimiert werden. Doch wer DevOps richtig umsetzt, kann auch in Sachen Sicherheit gute Ergebnisse erzielen. Allerdings leichter gesagt als getan, denn wie der Sate of DevOps Report 2019 zeigte, ist der Weg der DevOps-Integration und damit effizientere Sicherheit kein leichter.

Das ist auch in der aktuellen Analyse eines der wichtigsten Ergebnisse. Es veranschaulicht, welchen Einfluss die Sicherheitsintegration nicht nur auf die Zyklen der Software-Bereitstellung hat, sondern macht auch auf die Behebung von Sicherheitslücken aufmerksam. Dem Report zufolge ist die Transformation nicht leicht, da die Integration von Sicherheit in mehrere Ebenen unterteilt werden kann. Das Erreichen der nächsten Sicherheitsstufe erfordert Zeit und Geld, stört den Arbeitsablauf und stellt in einigen Branchen die seit Jahrzehnten bestehenden Verfahren in Frage.

Finanzinstitute sind die Verlierer

Laut der aktuellen Umfrage gelingt es Finanzdienstleistern am schlechtesten, die Sicherheit in ihre DevOps-Praktiken zu integrieren. Einer der Gründe dafür ist, dass die meisten Finanzinstitutionen seit Jahrzehnten existieren und Änderungen sich daher nur schwer in die bestehenden Strukturen integrieren lassen.

Die Mehrheit der Befragten (67 Prozent) aus Finanzinstitutionen stimmen zu, dass ihr Sicherheitsteam Probleme verhindern könnte, wenn es nur früher einbezogen würde. Zudem beklagen sie auch einen Mangel an Sicherheitsexperten, die in die Teams, welche Software bereitstellen, eingebunden sind. Die Herausforderungen, mit denen die Finanzdienstleister konfrontiert sind, zeigen, dass Sicherheitsexperten und Automatisierung hohe Priorität haben sollten.

Die Technologieindustrie ist Spitzenreiter

Die Technologieindustrie ist führend in Bezug auf die Verbreitung von DevOps – inklusive der Integration von DevOps. Interessanterweise sehen 35 Prozent der Befragten, die in der Technologie-Branche tätig sind die Sicherheit als eine gemeinsame Verantwortung von alle Teams, nicht nur des Sicherheitsteams.

Der Einzelhandel hat das perfekte Timing!

Der Einzelhandel hebt sich in einigen wenigen Fällen von der Masse ab. Sie waren am schnellsten bei der Behebung kritischer Sicherheitslücken; 53 Prozent der kritischen Sicherheitslücken wurden in weniger als einem Tag behoben. Zudem ist der Einzelhandel in der Lage, auf Anfragen zu reagieren (57 Prozent) und diese zu bearbeiten (28 Prozent).

Quelle: State of DevOps 2019

Eine große Anzahl von Einzelhandelsunternehmen sehen sich selbst auf einem hohen Niveau auf ihrer DevOps-Reise. Trotzdem ist der Einzelhandel auch für Sicherheitslücken berüchtigt.

Telekommunikation und Regierungen

Im Gegensatz zum Einzelhandelssektor benötigen Regierungsbehörden die längste Zeit bei der Behebung kritischer Schwachstellen. Immerhin drei Prozent der Befragten waren allerdings in der Lage, Sicherheitslücken in weniger als einer Stunde und 24 Prozent in weniger als einem Tag zu beheben. In puncto Sicherheitsintegration gibt es in der Branche keinen wirklichen Mittelweg. 43 Prozent der Befragten geben an, entweder signifikant bzw. vollständig Sicherheit in den DevOps-Workflow zu integrieren, während 42 Prozent keine oder nur eine minimale Integration aufweisen.

Die Telekommunikationsindustrie hat bedeutende Fortschritte bei der Weiterentwicklung ihrer DevOps-Praktiken gemacht. Die Zahl der Unternehmen, die in der Kategorie High der DevOps-Entwicklung gepunktet haben, stieg um 42 Prozent. Eine der größten Herausforderungen in dieser Branche ist allerdings die Reibung zwischen Sicherheits- und Delivery-Teams. So berichten 19 Prozent der Unternehmen von Konfrontationen bei der Zusammenarbeit.

Technologiesektor vs. Einzelhandel

Es überrascht nicht, dass die Technologiebranche die höchste Punktzahl erreicht, wenn es um Praktiken wie die kontinuierliche Bereitstellung, die Reifung von DevOps und die Integration von Sicherheit in die Zyklen der Software-Bereitstellung geht. Allerdings schneidet der Einzelhandel wiederum besser als der Technologiesektor ab, wenn es um die Bereitstellung und das Testen von Container-Images geht.

Technologieunternehmen haben im Vergleich zu anderen Branchen einen höheren Grad an Unterstützung durch die Führung. 28 Prozent der Technologieunternehmen gaben an, dass die Unternehmensführung die Praktiken von DevOps immer unterstützt.

Der Schlüssel zum Erfolg

Vor allem leistungsstarke Organisationen verbrachten weniger Zeit mit unvorhergesehenen Arbeiten. Ungeplante Arbeiten reichen von der Bereitstellung von Software in Notfällen über Patches bis hin zur Überarbeitung von Korrekturen. Da sie weniger Zeit mit dem Löschen von Notfall-Bränden verbrachten, hatten sie mehr Zeit, um an neuen Funktionen zu arbeiten. Kontinuierliche Bereitstellungszyklen und Automatisierung sind Möglichkeiten, um unerwünschte Arbeiten zu reduzieren.

Sicherheit als eine gemeinsame Verantwortung zu betrachten, ist ein weiterer Schlüssel zum Erfolg. Vor allem Technikunternehmen sehen Sicherheit im Durchschnitt häufiger als ein Anliegen, das alle Teams betrifft und nicht nur das Sicherheitsteam betrifft.

Alle Ergebnisse können im State of DevOps – Industry Report Card nachgelesen werden. Der Report selbst steht auf der Homepage von Puppet zum Download bereit.