Die Kombination aus Development und Operations, genannt DevOps ist ein Auslaufmodell: Gestartet ist die Philosophie als agile Beziehung zwischen Software-Entwicklern und IT-Betrieb – das führte zu einer deutlichen Geschwindigkeitssteigerung bei der Entwicklung, einem einfacheren Betrieb und besserer Kommunikation zwischen den beiden Teams. Mit der Ausdehnung von DevOps auf weitere Bereiche des Unternehmens wurden auch diese Abteilungen zunehmend agiler und performanter.
Der Focus von DevOps lag dabei schon immer auf einem möglichst großen Automatisierungsgrad. Dadurch wurde es möglich eine große Menge an Software-Deployments mit sehr wenig menschlichem Eingriff und doch größtmöglicher Passgenauigkeit durchzuführen.

Warum ist DevOps dann ein Auslaufmodel?
Mit den zunehmenden Sicherheitsanforderungen an Software ändert sich auch zunehmend die Art, wie diese Entwickelt werden muss. Wenn sich also das "Dev" ändert muss sich auch das "Ops" ändern. Und geboren ist DevSecOps: Es bricht aus gängigen Entwicklungsumgebungen aus, um die neuen Security-Anforderungen in den Entwicklungsprozess mit einzubinden. Mit DevOps wurde eine App vom Development-Team in Abstimmung mit dem Operationsteam entwickelt – hinterher durfte sich das Security Operations Center (SOC) dann bemühen die Security des Produkts sicher zu stellen. Dieses Vorgehen entspricht aber überhaupt nicht der DevOps-Philosophie. Also muss das SOC in das DevOps-Team integriert werden.

DevOps heißt jetzt DevSecOps
Mit der weiterentwickelten Art Software zu entwickeln verlieren Sie keine Fahrt bei den Deployments – aber sie gewinnen ein hohes Maß an Sicherheit hinzu. Sind die Prozesse richtig aufgesetzt, kann die Geschwindigkeit sogar noch zunehmen, da anfallende Sicherheitsprobleme bereits im Entwicklungsprozess vermieden (Security by Design) und nicht nachträglich aufwändig gepatched werden müssen.
Die Umwandlung von DevOps zu DevSecOps braucht aber das volle Kommitment aller im Prozess Beteiligter. Ob kontinuierliches Code-Assessment oder –Audits, für alle Commits und Updates muss das SOC mit an Bord sein. Dabei darf die Verantwortung nicht zwischen den drei Teams hin und her geschoben werden, sie müssen sie zwischen sich aufteilen.
Wie sie ein SOC erfolgreich aufbauen, zeigen wir Ihnen gerne.