Definition
DevSecOps bezeichnet einen Ansatz in der Softwareentwicklung, bei dem Sicherheitsaspekte von Anfang an und durchgehend in sämtliche Entwicklungs- und Bereitstellungsprozesse integriert werden, statt sie erst nachträglich zu prüfen.
Erklärung / Hintergrund
DevSecOps erweitert den etablierten DevOps-Ansatz, der Entwicklung und Betrieb enger verzahnt, um die konsequente Integration von Sicherheitsprüfungen in jeden Schritt des Softwarelebenszyklus. Automatisierte Sicherheitstests werden dabei bereits während der Entwicklung durchgeführt, statt Schwachstellen erst kurz vor der Veröffentlichung zu entdecken.
Für Unternehmen ist DevSecOps relevant, weil Sicherheitslücken, die frühzeitig in der Entwicklung erkannt werden, deutlich kostengünstiger und schneller zu beheben sind als solche, die erst nach der Veröffentlichung eines Produkts entdeckt werden. Dieser Ansatz reduziert zudem das Risiko, dass unsichere Software überhaupt in Betrieb genommen wird.
Für Architektur- und Ingenieurbüros ist DevSecOps meist indirekt relevant, etwa wenn genutzte Projektplattformen, BIM-Software oder Cloud-Dienste von Anbietern entwickelt werden, die diesen Ansatz konsequent verfolgen, wodurch die grundsätzliche Sicherheit der eingesetzten Software für die eigene Projektarbeit spürbar erhöht wird.
Abzugrenzen ist DevSecOps von der allgemeinen CI/CD-Sicherheit, die spezifisch die Absicherung automatisierter Entwicklungs-Pipelines beschreibt, sowie von der Cloud-Sicherheit, die den Schutz der zugrunde liegenden Infrastruktur betrifft. DevSecOps ist als übergeordnete Kultur und Methodik zu verstehen, die beide Bereiche sinnvoll einbezieht.
Praxisrelevanz
Für Sie als Geschäftsführerin oder Geschäftsführer eines Planungsbüros ist DevSecOps meist kein Thema, das Sie selbst aktiv umsetzen müssen, es sei denn, Ihr Büro entwickelt eigene Softwarelösungen oder digitale Erweiterungen. Relevanter ist für Sie, bei der Auswahl von Projektplattformen, BIM-Software oder Cloud-Diensten gezielt zu hinterfragen, ob der jeweilige Anbieter Sicherheitsaspekte konsequent in seine Entwicklungsprozesse integriert, da dies unmittelbar die Sicherheit der von Ihnen genutzten Software beeinflusst. Anbieter, die einen DevSecOps-Ansatz nachvollziehbar verfolgen, bieten in der Regel ein höheres Vertrauensniveau. Für Cyberversicherer kann der professionelle Umgang eines Softwareanbieters mit Sicherheitsaspekten Teil der allgemeinen Risikoeinschätzung Ihres eigenen Unternehmens sein und Beratungsgespräche erleichtern.
Praxisbeispiel
Ein Generalplanungsbüro vergleicht bei der Auswahl einer neuen, cloudbasierten Projektplattform mehrere Anbieter auch hinsichtlich ihrer internen Entwicklungsprozesse. Ein Anbieter legt transparent dar, dass er einen konsequenten DevSecOps-Ansatz verfolgt, bei dem jede Codeänderung automatisiert auf Sicherheitslücken geprüft wird, bevor sie in die produktive Umgebung gelangt. Ein anderer, ursprünglich favorisierter Anbieter kann zu diesem Thema keine konkrete Auskunft geben und wirkt bei genauerem Nachfragen zunehmend unsicher und ausweichend. Die Geschäftsführung entscheidet sich daraufhin bewusst für den transparenteren Anbieter, um langfristig ein geringeres Risiko unentdeckter Sicherheitslücken in der genutzten Software einzugehen und die eigene Projektarbeit dauerhaft besser abzusichern.
FAQ
Was bedeutet DevSecOps?
DevSecOps bezeichnet einen Ansatz in der Softwareentwicklung, bei dem Sicherheitsaspekte von Anfang an und durchgehend in alle Entwicklungs- und Bereitstellungsprozesse integriert werden.
Wie unterscheidet sich DevSecOps von klassischem DevOps?
DevOps verzahnt primär Entwicklung und Betrieb enger miteinander, während DevSecOps zusätzlich Sicherheitsprüfungen konsequent in jeden Schritt des Prozesses integriert.
Warum ist DevSecOps für Architektur- und Ingenieurbüros meist nur indirekt relevant?
Die Nutzung erfolgt meist über Softwareanbieter, deren Entwicklungsprozesse die grundsätzliche Sicherheit der eingesetzten Projektplattformen und BIM-Software beeinflussen.
Welche Vorteile bietet DevSecOps für Softwareanbieter?
Frühzeitig erkannte Sicherheitslücken lassen sich deutlich kostengünstiger und schneller beheben als solche, die erst nach der Veröffentlichung entdeckt werden.
Worauf sollten Planungsbüros bei der Anbieterauswahl achten?
Es lohnt sich nachzufragen, ob ein Softwareanbieter Sicherheitsaspekte transparent und nachvollziehbar in seine Entwicklungsprozesse integriert.
Verwandte Begriffe
• Cloud-Sicherheit – wird durch einen konsequenten DevSecOps-Ansatz bei genutzten Cloud-Diensten zusätzlich gestärkt.
• Byod – profitiert indirekt von sicherer entwickelter Software, die auch auf privaten Endgeräten genutzt wird.
• CI/CD-Sicherheit – beschreibt einen konkreten technischen Baustein, den DevSecOps als übergeordnete Methodik einbezieht.
• Cloud – bildet häufig die Infrastruktur, auf der nach DevSecOps-Prinzipien entwickelte Software betrieben wird.
.png?width=900&height=900&name=BDB%20(1).png)
