© svetabelaya/Shutterstock.com
Kolumne: DevOps Stories

Kolumne: DevOps Stories


Das MusicStore-Team sitzt beim Mittagessen zusammen. Martin hat am Vorabend an einem Meetup teilgenommen und berichtet seinen Kollegen von den neuen Erkenntnissen, die er dort gewonnen hat.

Martin: „Ich war gestern Abend das erste Mal auf dem Sec Meetup.“

Lukas: „Cool, ist das dieses Security Meetup, von dem du erzählt hast? Wie bist du darauf gekommen?“

Martin: „Das Meetup fand in der Firma statt, in der mein Kumpel Rüdiger arbeitet. Sehr coole Location ...“

Lukas: „Ich hab’s gestern leider nicht geschafft. War’s denn interessant?“

Martin: „Auf jeden Fall. Es ging um ‚DevSecOps – Für Security ist jeder verantwortlich‘. Ich habe nur gemerkt, dass ich mir solche Themen nicht abends anhören kann. Es hat mich so intensiv zum Grübeln gebracht, dass ich noch zwei Stunden wach gelegen habe.“

Lukas: „Wow. Was hat dich so beschäftigt?“

Martin: „Worauf man alles achten muss, wenn man halbwegs sichere Software bauen möchte – und was man alles falsch machen kann. Wir haben da ganz schön Nachholbedarf!“

Christian: „Wieso? Security kaspert Erik doch mit Gunnar, unserem CISO, aus.“

Martin: „Es ging gestern auch um einige Themen, die sich auf die Zusammenarbeit mit dem PO bezogen. Wusstet ihr aber, dass es zum Beispiel ein Tool gibt, mit dem man Maven Dependencies auf Schwachstellen scannen kann? Oder eins, mit dem sich Angriffspunkte für SQL Injections in der Anwendung aufdecken lassen? Das sehe ich auch eher als Aufgabe der Entwickler. Da hat Erik nichts mit zu tun.“

Lukas: „Außerdem, Christian, haben wir uns in letzter Zeit auch nicht mit Ruhm bekleckert, wenn Erik sicherheitsrelevante Dinge eingekippt hat. Ich erinnere nur an die Testumgebung, die immer noch offen im Netz rumsteht ...“

Christian: „Was soll da auch groß passieren, ehrlich?“

Martin: „Oh, da habe ich gestern die eine oder andere Horrorstory mit Data Leaks gehört. Das würde ich spätestens seit gestern nicht mehr so auf die leichte Schulter nehmen, Christian. Vor allem, weil die Daten ja unverschlüsselt auf der Umgebung liegen.“

diener_devops_1.tif_fmt1.jpgAbb. 1: Martin berichtet seinen Kollegen beim Mittagessen vom gestrigen Security Meetup

Security wird oft als lästiges Nice-to-have gesehen

Martin ist nach dem Meetup überzeugt: Jeder ist für Security verantwortlich. Christian sieht das ganz anders. Für ihn ist Security ein lästiges Thema, um das sich der Chief Information Security Officer (CISO) zusammen mit dem Product Owner kümmern soll. Vermutlich gibt es bei jedem Go Live einen Schritt, in dem Gunnar, der CISO, noch ein paar Securitytests durchführt.

Die ablehnende Haltung der Entwickler kommt nicht von ungefäh...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang