Haben Entwickler immer noch Mühe mit der Security?

18. Juli 2019, 13:53
  • technologien
  • umfrage
  • studie
  • developer
  • security
image

GitLab konstatiert aufgrund einer globalen Umfrage eine "Kluft zwischen Entwickler- und Sicherheitsteams".

GitLab konstatiert aufgrund einer globalen Umfrage eine "Kluft zwischen Entwickler- und Sicherheitsteams".
GitLab hat Anfang dieses Jahres zum dritten Mal eine nicht repräsentative Online-Umfrage unter seinen Usern durchgeführt. Etwas mehr als 4000 Personen haben sich beteiligt. Etwas mehr als die Hälfte davon arbeitet in Europa, etwas mehr als ein Viertel in Nordamerika.
GitLab konzentriert sich in einer Zusammenfassung der Ergebnisse auf Zusammenhänge zwischen DevOps und sicherem Code sowie gewisse Diskrepanzen zwischen der Sicht von Entwicklern und Security-Experten.
So erklärten 69 Prozent der Entwickler, dass von ihnen erwartet werde, dass sie sicheren Code schreiben. Aber 49 Prozent der Sicherheitsprofis sagten, dass sie die Entwickler nur schwer dazu bringen könnten, die Behebung von Schwachstellen zu priorisieren. Ausserdem waren 68 Prozent von ihnen der Meinung, dass nur weniger als die Hälfte der Entwickler in der Lage sei, Sicherheitsschwachstellen später im Lebenszyklus zu erkennen. Ungefähr die Hälfte der Sicherheitsexperten gab an, Fehler am häufigsten erst dann zu finden, wenn der Code in einer Testumgebung bereits zusammengeführt wurde.
"Unsere Untersuchung zeigt uns, dass die meisten Entwickler die Gefahren von Sicherheitslücken durchaus kennen und ihre Sicherheitsfunktionen drastisch verbessern möchten. Doch leider unterstützen die Organisationen die Priorisierung der Erstellung von sicherem Code noch viel zu wenig. Zum Beispiel fehlen oft Schulungen zu sicherer Codierung sowie die Implementierung automatisierter Scan- und Testwerkzeuge, womit man diese Situation verändern könnte", so Colin Fletcher, Führungskraft im Bereich Market Research and Customer Insights bei GitLab.
Es scheint aber auch einen Zusammenhang zwischen dem wahrgenommenen Reifegrad der angewandten DevOps-Praktiken und der Sicherheit zu geben. Entwickler, die erklärten, dass in ihrem Unternehmen ausgereifte Modelle angewendet werden, sagten auch dreimal häufiger, dass bei ihnen Sicherheitsschwachstellen relativ früh entdeckt würden.
Entwickler, die den DevOps-Reifegrad eher als schlecht einstufen, sagten laut GitLab dafür 2,6 Mal häufiger, dass es für sie bürokratische Hürden gebe, welche die Behebung von Schwachstellen verlangsamen.
Bessere Zusammenarbeit in dezentralen Teams?
Eine weitere Feststellung, die GitLab trifft, bezieht sich auf dezentrale Teams. Diese scheinen laut den Umfrageergebnissen besser zusammenzuarbeiten, als zentralisierte Teams. Gemäss GitLab erklärten dezentral arbeitende Entwickler mit 23 Prozent höherer Wahrscheinlichkeit, dass sie einen guten Einblick in die Arbeit ihrer Kollegen hätten. Auch bewerten sie die Reife der Sicherheitspraktiken ihrer Organisation um 29 Prozent besser als diejenigen, die in einem traditionellen Büroumfeld arbeiten.
Laut GitLab zeigt die Umfrage auch auf, dass verteilte Teams ihre Arbeit häufiger quantifizieren und dokumentieren würden als Teams vor Ort. Mitarbeiter aus dem operativen Bereich würden verglichen mit Kollegen in zentralen Teams über 2,5 Mal so häufig rechtzeitig informiert, wenn die Entwickler ihre Unterstützung benötigen.
Die Rohdaten der Umfrage, in der nach vielen weiteren Themen gefragt wurde, kann man sich hier ansehen. (hjm)

Loading

Mehr zum Thema

image

Cyber-Angriffe: Einer ernst zu nehmende Gefahr erfolgreich begegnen und ihre Auswirkungen begrenzen

«Sie wurden gehackt und wir sind im Besitz sensibler Daten Ihres Unternehmens. Bei ausbleibender Lösegeldzahlung werden wir die Daten im Darknet zum Verkauf anbieten!»

image

Das Bug-Bounty-Programm von Linkedin wird öffentlich

Bis zu 15'000 Dollar erhält, wer der Social-Media-Plattform hilft, Sicherheitslücken zu finden.

publiziert am 27.5.2022
image

"Die Früherkennung von Bedrohungen wird immer schwieriger"

Pascal Lamia, Leiter der operativen Cybersicherheit im NCSC, erklärt im Interview, warum die Schweiz für Cyberkriminelle attraktiv ist. Und wie er die Bedrohung des Gesundheitssektors einschätzt.

Von publiziert am 25.5.2022
image

Konsortium fordert digitalen Impfausweis

Mehrere Gesundheitsorganisationen haben zusammen ein Konzept vorgestellt, wie ein sicheres elektronisches Impfdossier entwickelt und ans EPD angeschlossen werden könnte.

publiziert am 24.5.2022