DevSecOps: Nutzung von ASOC-Tools nimmt zu
Januar 2023 von SANS INSTITUTE
SANS Institute, Anbieter von Cybersicherheitsschulungen und -zertifizierungen, stellt die wichtigsten Ergebnisse der Umfrage zu DevSecOps 2022 vor. Sie wirft einen Blick auf die aktuelle Situation der DevSecOps-Landschaft. Dazu zählt die Lage des Anwendungshosting in der Cloud, der verwendeten Methoden zur Sicherung mehrerer Cloud-Umgebungen in großem Umfang, der Container-Sicherheit und der Automatisierung von Compliance-Funktionen. Darüber hinaus zeigt die auf Basis der Antworten erstellte Studie die eingesetzten DevSecOps-Praktiken und -Tools sowie Herausforderungen und Erfolgsfaktoren vor.
Die wichtigsten Erkenntnisse aus der Umfrage in der Zusammenfassung:
Nicht alle Anwendungen laufen in der Cloud. Im Jahr 2022 haben zwar in Summe mehr Unternehmen On-Premises Anwendungen gehostet, aber insgesamt ist dies ein geringerer Prozentanteil der gesamten Anwendungen.
Cloud-gehostete VMs werden immer noch gegenüber Containern und serverlosen Funktionen bevorzugt.
Es gibt einen klaren Trend weg von der Nutzung eines einzigen Cloud Hosting-Anbieters um den Großteil der Workloads eines Unternehmens auszuführen.
Obwohl die Mehrheit der Befragten Cloud Security Posture Management (CSPM) zum Schutz nutzt, setzen es aber nur 17 Prozent in mindestens drei Viertel oder mehr ihrer AWS-Accounts, Azure-Abonnements oder GCP-Projekte ein.
Die Nutzung von Docker-Containern ist im Vergleich zum Vorjahr um 20 Prozentpunkte gestiegen, aber wenn Container in der Cloud verwendet werden, werden Containerdienste bevorzugt, die CSPM verwenden.
Obwohl die Nutzung von Continuous Integration/Continuous Deployment (CI/CD)-Tools, die CSPM einsetzen, in den letzten beiden Umfragen stabil geblieben ist, gab es einen deutlichen Anstieg bei der Nutzung von Open-Source-CI/CD-Tools auf Kosten von kommerziellen CI/CD-Tools von Drittanbietern.
Unveränderliche Infrastrukturbereitstellung, Blameless Retrospectives und Chaos Engineering sind nach wie vor die am wenigsten genutzten Praktiken innerhalb von DevSecOps.
Der Einsatz von Application Security Orchestration and Correlation (ASOC)-Tools wird in den kommenden Jahren wahrscheinlich zunehmen, und die Einführung von KI, maschinellem Lernen und anderen Data-Science-Methoden und -Tools wird zur Verbesserung von DevSecOps beitragen. Gesponsert wurde die Umfrage von den Herstellern deepfactor, ForAllSecure, SUSE, synopsis, tenable, Uptycs und Veracode. Insgesamt haben weltweit 341 DevSecOps-Spezialisten teilgenommen.