Unser Weg ins DevSecOps-Universum – ein Erfahrungsbericht

Für manche ist DevSecOps einfach die nächste Kuh, die durchs Dorf getrieben wird. Andere sehen darin das Allheilmittel für alle Schmerzen heutiger Softwareentwicklung.

In diesem Vortrag versuchen wir, uns der realistischeren Mitte zwischen diesen Sichtweisen zu nähern. Wir erklären, wie wir den Weg von herkömmlicher Softwareentwicklung zu DevSecOps gegangen sind, welche Werkzeuge sich als hilfreich erwiesen haben und welche unternehmenskulturellen Veränderungen notwendig sind.

Die hilfreichen Werkzeuge zeichnen sich durch die Bank durch leichte Integrierbarkeit in automatisierte Prozesse und die Förderung von teamübergreifender Kooperation aus. Hierzu gehören unter anderem Technologien wie git, Docker und K8s, Securityanalyse-Werkzeuge wie retirejs, trufflehog und testssl.sh und Automatisierungslösungen wie ansible.

Die Veränderungen im Bereich der Unternehmenskultur betreffen or allem die Umverteilung von Verantwortung. Jedoch müssen dadurch unmittelbar auch etablierte Prozesse geändert werden, um Entscheidungen herbeizuführen.

Wir ziehen Bilanz, bewerten den Ertrag und fassen unsere Lektionen in gut verdaulichen Häppchen zum Mitnehmen zusammen.

Vorkenntnisse

• Grundlagen Build & Deployment,
  
• Grundlagen Security Testing,
  
• Kategorien SCA, DAST, SAST, IAST

Lernziele

Nach dem Vortrag sollten die Teilnehmenden

• wichtige Aspekte moderner DevSecOps-Prozesse kennen,
  
• eine schrittweise Transformation verstanden haben,
  
• eine geeignete Menge an nützlichen Werkzeugen kennengelernt haben, und
  
• Lektionen für ein besseres Gelingen mitnehmen.