Whitepaper

DevOps besteht aus Prozessen, Werkzeugen und Kulturen, die vor allem von den Menschen abhängen und kann nicht mit Werkzeugen, neuen Prozessen oder einem DevOps-Ingenieur „gekauft“ werden. DevOps ist interdisziplinäre Zusammenarbeit nicht nur von Entwicklern, Ingenieuren und Betreibern, sondern von allen am Produktlebenszyklus beteiligten Parteien wie Product Owner, Scrum Master, Testing und Security.

Traditionell war Security ein „Gatekeeper“ beim Abschluss der Softwareentwicklung, ganz ähnlich wie Operations vor DevOps. Das „Sec“ in „DevSecOps“ macht die Zusammenarbeit und die Verschiebung der Verantwortung explizit.

In einer DevSecOps-Kultur hat jedes agile Team einen Sicherheitsexperten. Er erfüllt nichtfunktionale Anforderungen (wie Datenklassifizierung und andere Teile der Risikoanalyse), sodass der Product Owner im Entwicklungsplan auch Security berücksichtigt. Er bietet auch Unterstützung und Werkzeuge (idealerweise mit allen Produktentwicklungsteams geteilt) für sichere Entwicklungs- und Betriebspraktiken.