Eine Kluft zwischen Entwicklern und Sicherheitsteams

GitLab-Umfrage zu DevSecOps: Waterfall und Sicherheit bleiben ein Problem

Katharina Degenmann

© Shutterstock / Imagentle

GitLab hat seinen Global Developer Report 2019 vorgestellt. Wie Studie unter 4.071 Entwicklern zeigt, kann DevOps bei richtiger Umsetzung die Sicherheit verbessern und eine stetige Implementierung ermöglichen. Dennoch gibt es auch Schattenseiten im DevSecOps-Universum.

Für seinen dritten jährlichen DevSecOps-Report hat GitLab über 4.000 IT-Experten weltweit befragt, darunter auch 54 Prozent aus Europa und Russland. Die GitLab-Umfrage bietet weitreichende Einblicke in Bezug auf Kultur, Workflow und Tools im DevSecOps-Umfeld. Erstmalig seit seiner Durchführung beinhaltet der Report auch Antworten von Admins und Security-Verantwortlichen. Die Befragten dürften zum Großteil GitLab-Anwender sein, da die Aufrufe zur Studie über Newsletter und und Social-Media-Kanäle erfolgte.

Unternehmen stecken in der Vergangenheit fest

DevOps und DevSecOps mögen auf der Agenda einiger Leader ganz oben stehen, dennoch zeichnet sich in der Realität ein etwas anderes Bild ab. Als Entwicklungs-Methode wird DevOps von lediglich 36 Prozent der Befragten genutzt. Zwar setzen die meisten Entwickler auf Scrum (54 Prozent), doch auch Waterfall (17 Prozent) hat in den Unternehmen immer noch einen Platz. Kanban kommt bei 37 Prozent der befragten Entwickler zum Einsatz.

Quelle: DevSecOps-Report 2019

Unternehmen, bei denen DevOps im Einsatz ist, sind rundum zufriedener, so die Umfrage. In Unternehmen mit einem „ausgereiften“ DevOps-Modell fühlten sich die Entwickler 1,4-mal innovativer als in Unternehmen mit einem als schlechterer eingestuftes DevOps-Modell. Ein Drittel der Entwickler in diesen Unternehmen bewertet ihre Praktiken als fair, wobei lediglich 28 Prozent sie als gut und 17 Prozent sie als schlecht einschätzten.

Es wundert daher auch nicht sonderlich, dass nur rund ein Drittel (36 Prozent) der Befragten glaubt, dass Mitglieder des Operations-Teams in der Lage sind, ihre Arbeit zu quantifizieren und zu dokumentieren. Allerdings sagen auch weniger als die Hälfte (43%), dass die Ops genügend Vorlauf erhalten, um die Entwicklungsarbeit in ihren Unternehmen zu unterstützen.

Diese Praktiken kommen zum Einsatz

Zur richtigen Umsetzung gehören natürlich auch die richtigen Tools. So kommt bei 61 Prozent der Development-Teams GitLab als CI- und Build-Tool zum Einsatz, wobei 60 Prozent der Survey-Teilnehmer GitLab-Nutzer sind. Rund die Hälfte weniger nutzt Jenkins, gefolgt von Travis, während 10 Prozent angeben, gar keine CI- oder Build-Tool zu verwenden.

In Operation-Teams führt DevOps die Tabelle an, gefolgt von Scrum and Kanban.

Quelle: DevSecOps-Report 2019

Geht es um Continuous Integration und Build-Tools geben 65 Prozent der Operations-Teams an, dass sie GitLab verwenden, gefolgt von Jenkins mit 39 Prozent und Travis mit 9 Prozent. Ganze 14 Prozent der Befragten sagen allerdings auch, dass bei ihnen überhaupt kein CI- oder Build-Tool zum Einsatz kommt.

Security bleibt das Sorgenkind

Eines der mitunter wichtigsten Themen im DevOps Bereich ist die Sicherheit. Und hier gibt es noch deutlich Nachholbedarf. 70 Prozent der Entwickler sind dazu angehalten, sicheren Code zu schreiben, aber lediglich 30 Prozent bewerten ihre Sicherheitspraktiken als fair, nur ein Viertel als gut und ein weiteres Viertel erachtet ihre Sicherheitspraktiken als schlecht.

Und auch die Sicherheitsexperten äußern ihre Bedenken und zeigen das Spannungsverhältnis zwischen Entwickler- und Sicherheits-Teams auf. So gaben rund 49 Prozent an, dass sie immer noch darum kämpfen müssen, dass Entwickler die Behebung der Schwachstellen priorisieren. Darüber hinaus sind sich die Hälfte der Teilnehmer darüber einig, dass Sicherheitsschwachstellen zwar vom Sicherheitsteam entdeckt werden, allerdings erst nachdem der Code gemerged und in eine Testumgebung überführt wurde – was ebenfalls ein Problem darstellt.

Natürlich wirft der Survey auch einen Blick auf die meistgenutzten Praktiken im Bereich Sicherheit. Demnach ist das Scannen von Abhängigkeiten mit 56 Prozent am beliebtesten, gefolgt von Cloud Security (42 Prozent), Container Security (41 Prozent), SAST (35 Prozent), License Compliance (29 Prozent) und DAST (22 Prozent). Insgesamt testen 12 Prozent der Sicherheitsteams zwischen 61-75 Prozent des Codes.

Alle Ergebnisse im Detail und weitere Informationen zum Survey stehen auf  der Homepage von GitLab zum Nachlesen bereit.

Geschrieben von
Katharina Degenmann
Katharina Degenmann
Katharina Degenmann hat Politikwissenschaft und Philosophie studiert. Seit Februar 2018 arbeitet sie als Redakteurin bei der Software & Support Media GmbH und ist nebenbei als freie Journalistin tätig.
Kommentare

Hinterlasse einen Kommentar

1 Kommentar auf "GitLab-Umfrage zu DevSecOps: Waterfall und Sicherheit bleiben ein Problem"

avatar
4000
  Subscribe  
Benachrichtige mich zu:
Patrick
Gast

‚Fair‘ kann man in einer Umfrage nicht mit ‚fair‘ übersetzen ^^