Haben Entwickler immer noch Mühe mit der Security?

GitLab konstatiert aufgrund einer globalen Umfrage eine "Kluft zwischen Entwickler- und Sicherheitsteams".
 
GitLab hat Anfang dieses Jahres zum dritten Mal eine nicht repräsentative Online-Umfrage unter seinen Usern durchgeführt. Etwas mehr als 4000 Personen haben sich beteiligt. Etwas mehr als die Hälfte davon arbeitet in Europa, etwas mehr als ein Viertel in Nordamerika.
 
GitLab konzentriert sich in einer Zusammenfassung der Ergebnisse auf Zusammenhänge zwischen DevOps und sicherem Code sowie gewisse Diskrepanzen zwischen der Sicht von Entwicklern und Security-Experten.
 
So erklärten 69 Prozent der Entwickler, dass von ihnen erwartet werde, dass sie sicheren Code schreiben. Aber 49 Prozent der Sicherheitsprofis sagten, dass sie die Entwickler nur schwer dazu bringen könnten, die Behebung von Schwachstellen zu priorisieren. Ausserdem waren 68 Prozent von ihnen der Meinung, dass nur weniger als die Hälfte der Entwickler in der Lage sei, Sicherheitsschwachstellen später im Lebenszyklus zu erkennen. Ungefähr die Hälfte der Sicherheitsexperten gab an, Fehler am häufigsten erst dann zu finden, wenn der Code in einer Testumgebung bereits zusammengeführt wurde.
 
"Unsere Untersuchung zeigt uns, dass die meisten Entwickler die Gefahren von Sicherheitslücken durchaus kennen und ihre Sicherheitsfunktionen drastisch verbessern möchten. Doch leider unterstützen die Organisationen die Priorisierung der Erstellung von sicherem Code noch viel zu wenig. Zum Beispiel fehlen oft Schulungen zu sicherer Codierung sowie die Implementierung automatisierter Scan- und Testwerkzeuge, womit man diese Situation verändern könnte", so Colin Fletcher, Führungskraft im Bereich Market Research and Customer Insights bei GitLab.
 
Es scheint aber auch einen Zusammenhang zwischen dem wahrgenommenen Reifegrad der angewandten DevOps-Praktiken und der Sicherheit zu geben. Entwickler, die erklärten, dass in ihrem Unternehmen ausgereifte Modelle angewendet werden, sagten auch dreimal häufiger, dass bei ihnen Sicherheitsschwachstellen relativ früh entdeckt würden.
 
Entwickler, die den DevOps-Reifegrad eher als schlecht einstufen, sagten laut GitLab dafür 2,6 Mal häufiger, dass es für sie bürokratische Hürden gebe, welche die Behebung von Schwachstellen verlangsamen.
 
Bessere Zusammenarbeit in dezentralen Teams?
Eine weitere Feststellung, die GitLab trifft, bezieht sich auf dezentrale Teams. Diese scheinen laut den Umfrageergebnissen besser zusammenzuarbeiten, als zentralisierte Teams. Gemäss GitLab erklärten dezentral arbeitende Entwickler mit 23 Prozent höherer Wahrscheinlichkeit, dass sie einen guten Einblick in die Arbeit ihrer Kollegen hätten. Auch bewerten sie die Reife der Sicherheitspraktiken ihrer Organisation um 29 Prozent besser als diejenigen, die in einem traditionellen Büroumfeld arbeiten.
 
Laut GitLab zeigt die Umfrage auch auf, dass verteilte Teams ihre Arbeit häufiger quantifizieren und dokumentieren würden als Teams vor Ort. Mitarbeiter aus dem operativen Bereich würden verglichen mit Kollegen in zentralen Teams über 2,5 Mal so häufig rechtzeitig informiert, wenn die Entwickler ihre Unterstützung benötigen.
 
Die Rohdaten der Umfrage, in der nach vielen weiteren Themen gefragt wurde, kann man sich hier ansehen. Die komplette Fassung der Studie kann man gegen Preisgabe einiger persönlicher Daten bei GitLab herunterladen. (hjm)