Basierend auf dem Konzept von DevOps, ist DevSecOps die logische Weiterführung. Es bildet dabei den organisatorischen und kulturellen Bezugsrahmen, der die Orchestrierung von Entwicklung, IT-Betrieb und Sicherheitsteams umfasst. In der Praxis haben die zugrundlegenden Methodiken und Arbeitsweisen - Continuous Integration (CI) und Continuous Deployment (CD) - die Softwareentwicklung so verändert, dass sie agiler, kollaborativer, inkrementeller und zuverlässiger geworden ist.

Analog anderer Industrialisierungswellen in der Vergangenheit, steht der Effektivitäts- und Effizienzgewinn im Vordergrund. Mittels erhöhter Präzision und schnellerer Geschwindigkeit gelingt es Unternehmen sich zu modernen Softwarefabriken zu entwickeln. Und wie die vergangenen industriellen Revolutionen in anderen volkswirtschaftlichen Subsegmenten hängt auch die App-Wirtschaft von höchster Qualität und sicheren Produkte (namentlich Software) ab um zu florieren. Um dies zu gewährleisten, wird die Verantwortung für Stabilität und Ausfallsicherheit von Applikationen - von der Produktion bis zur Nutzung durch Anwender - im Entwicklungszyklus vorgezogen und auf Entwickler übertragen.

Umfangreiche und fortlaufende Tests werden damit von Anbeginn integraler Bestandteil der Entwicklung. Im Ergebnis führt dies zu spürbaren Qualitätsverbesserungen und mehr Stabilität. Das Risiko kostspieliger Korrekturen im Nachhinein wird dadurch deutlich gesenkt. Dieser Paradigmenwechsel hat jedoch eine Reihe von Implikationen - für Sicherheitsexperten und Entwickler gleichermaßen. Alte Rollenmodelle und frühere Demarkationslinien werden hinfällig. So werden Silos durchbrochen, Zuständigkeiten neu definiert und verkrustete Zusammenarbeitsmodelle gänzlich auf den Prüfstand gestellt.

Iterative Prozesse haben ausgedient

In der Vergangenheit waren Sicherheitsteams für Tests und Freigaben häufig alleine verantwortlich, was zwangsläufig in einem iterativen Vorgehensmodell endete und die Prozesse zumeist komplex, kostspielig und langwierig machte. Tests wurden in der Regel in letzter Minute durchgeführt, kurz bevor der Code für die Produktion freigegeben wurde - oder noch schlimmer, nachdem die App bereits freigegeben wurde.

Aufgrund zu optimistischer Planung und hohem Termindruck wurden vereinzelt gar Releases ohne jegliche Korrekturen produktiv geschaltet - manchmal mit verheerenden Folgen. Auf der einen Seite war die Erkennung und Behebung sicherheitsrelevanter Probleme im späten Entwicklungsprozess eine große Kostenbelastung. Auf der anderen Seite, wenn im Nachhinein Probleme auftauchten, erwiesen sich die vermeintlichen Einsparungen als Milchmädchenrechnung.

Im digitalen Zeitalter ist für all dies kein Platz mehr. Die Verfahren und Wasserfall-Methodik von damals gelten inzwischen als überholt und nicht mehr zeitgemäß. Um ein Höchstmaß an Agilität zu ermöglichen, werden Sicherheitstests nun von Anbeginn einbezogen und kontinuierlich fortgesetzt. Eine Vielzahl von Organisationen verwenden heute bereits sogenannte Application-Securitys-Frameworks, die bestimmte Tests in den verschiedenen Entwicklungsstadien erfordern. Durch diesen effektiven Ansatz können Risiken erheblich gemindert und letztendlich wesentlich besseren Ergebnisse in der Softwareentwicklung erzielt werden.

Jedoch wächst die Anzahl der Anwendungen exponentiell und die Entwicklungszyklen beschleunigen sich rasant. In Folge dessen haben einige Organisationen Schwierigkeiten, mit der Nachfrage nach gründlichen, konsistenten und rechtzeitigen Tests Schritt zu halten. Für einige fühlt es sich in der Tat an wie für den Hamster im Laufrad, welches sich immer schneller und schneller dreht. Die Sicherheitsleute scheinen notorisch unterbesetzt zu sein, was die Skalierung von Unternehmungen erheblich erschwert.