Was ist SecOps, DevSec, DevOps, SecDevOps, DevSecOps, Security by Design?

Dieser Blogbeitrag ist die Fortsetzung des Artikels "Was ist DevSecOps?". Es geht in erster Linie darum, die Terminologie und Begrifflichkeit zu erklären.

SecOps DevSec DevOps SecDevOps DevSecOps

 

Begriffe, Begriffe, Begriffe … es wird immer mehr

Manchmal habe ich das Gefühl, dass die IT-ler sich das Leben künstlich schwer machen, indem sie immer neue Begriffe erfinden, die im Wesentlichen keine reale Innovation mit sich bringen.

In der IT-Branche gibt es viele Begriffe und Abkürzungen, die manchmal redundant oder verwirrend wirken können. Ist das wirklich nötig: SecOps, DevSec, DevOps, SecDevOps, DevSecOps dazu kommt noch „Security by Design“ oder „you build it, you run it“.

An dieser Stelle möchte ich nicht den technologischen Fortschritt in Frage stellen. Sicherlich werden ständig neue Technologien, Methoden und Praktiken entwickelt, die logischerweise auch die Entstehung neuer Begriffe mit sich bringen, um die Innovationen besser beschreiben zu können. Aber oft handelt es sich um inkrementelle Verbesserungen oder Anpassungen bestehender Technologien. Und das Ganze wird durch Marketing und Hype getrieben.

SecOps, DevSec, DevOps, SecDevOps, DevSecOps, Security by Design, "you build it, you run it"

Die Begriffe SecOps und DevSec sind zwar nicht so verbreitet wie andere, sind aber tatsächlich existierende IT-Definitionen.

SecOps

SecOps, eine Abkürzung für Security Operations, beschreibt die Kooperation von Sicherheitsteams und IT-Betriebsteams. Das Ziel der beiden Teams ist dafür zu sorgen, die Sicherheitsrisiken zu reduzieren und die Effizienz/Stabilität der IT-Infrastruktur aufrechtzuerhalten.

DevSec

DevSec, kurz für Development Security, beschäftigt sich mit der Integration von Sicherheitspraktiken direkt in den Softwareentwicklungsprozess. Anders als bei DevSecOps, wo die Kooperation von Entwicklungs-, Sicherheits- und Betriebsteams im Vordergrund steht, konzentriert sich DevSec hauptsächlich auf den Entwicklungsaspekt. DevSec zielt darauf ab, Entwickler dazu zu ermutigen, Sicherheitsaspekte von Beginn an im Entwicklungsprozess zu berücksichtigen. Dadurch soll das Risiko von Sicherheitslücken in den fertiggestellten Produkten minimiert werden.

DevOps

DevOps ist einer der meistgenutzten IT-Begriffe der letzten zehn Jahre. DevOps ist eine Kombination aus den Begriffen "Development" und "Operations" und bezieht sich auf eine Kultur, Praktiken und Tools, die die Zusammenarbeit und Kommunikation zwischen Softwareentwicklung und IT-Betrieb fördern. Der Einsatz von DevOps sollte den Softwareentwicklungszyklus beschleunigen und gleichzeitig die Qualität und Stabilität der Software inkl. darunterliegende Infrastruktur gewährleisten.

you build it, you run it

Das "You build it, you run it"-Prinzip ist ein zentraler Bestandteil der DevOps-Philosophie und lässt sich nicht als etwas Abstraktes betrachten. Das Prinzip soll die Idee unterstreichen, dass Entwicklerteams, die die Software bauen, sollten auch die Verantwortung für den Betrieb und die Wartung dieser Software übernehmen.

DevSecOps und SecDevOps

Es hat keinen Sinn die Begriffe, SecDevOps und DevSecOps separat zu beschreiben, obwohl die Schreibweise unterschiedlich ist. Beide Begriffe beziehen sich auf dasselbe Konzept und können austauschbar verwendet werden.

Die Sicherheit von Anfang an in den Softwareentwicklungszyklus einzubeziehen, um das Risiko von Sicherheitslücken und Schwachstellen zu reduzieren, ist das Hauptziel von SecDevOps und DevSecOps.

Man konnte die Unterschiede sehr abstrakt so beschreiben:

  • SecDevOps betont die Sicherheit (Sec) als Erweiterung des DevOps-Ansatzes.
  • DevSecOps betont die Integration von Sicherheit (Sec) in den DevOps-Prozess.

Die verwendeten Methoden, Praktiken und Tools (z.B. automatisierte Sicherheitstests, Sicherheitsüberprüfungen im Code-Review-Prozess) sind gleich.

Security by Design

Das Konzept "Security by Design" ist ein grundlegendes Prinzip im Rahmen des DevSecOps-Ansatzes.

Die "Security by Design"- und DevSecOps-Ansätze sind eng miteinander verknüpft, haben aber laut Theorie unterschiedliche Schwerpunkte in der praktischen Umsetzung. Beide Konzepte befassen sich mit der Integration von Sicherheitspraktiken in den Softwareentwicklungs- und Betriebsprozess.

"Security by Design" konzentriert sich auf die Integration der Sicherheit den Entwicklungsprozess von Anfang an und bezieht sich auf das grundlegende Prinzip, dass Sicherheit ein integraler Bestandteil des Entwicklungsprozesses ist.

DevSecOps ist eigentlich eine Erweiterung von DevOps und fordert die Integration von Sicherheitspraktiken in den gesamten Softwareentwicklungs- und Betriebslebenszyklus. DevSecOps erwartet die Zusammenarbeit zwischen Entwicklungs-, Sicherheits- und Betriebsteams, um Sicherheit in allen Phasen des Software Development Life Cycles zu gewährleisten.

Wenn "Security by Design" seine Kernkompetenz im Bereich der Softwareentwicklung sieht und sich primär an Entwickler und Architekten wendet, umfasst DevSecOps den gesamten Softwarelebenszyklus und verlangt von allen Teams (Entwicklern, Sicherheits- und Betriebsteams), die Sicherheit in allen Phasen zu gewährleisten.

 


Vielen Dank, dass Sie sich die Zeit genommen haben, meinen Beitrag zu lesen. Ich hoffe, dass ich Ihnen ein wenig Klarheit über die Begrifflichkeit verschaffen konnte.

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.