Sicherheitstests erst vor dem Produktions-Deployment sind zu spät. Shift Left bedeutet, Sicherheitskontrollen so früh wie möglich zu verschieben — idealerweise in den Entwickler-Workflow.
Sicherheit in der CI/CD-Pipeline¶
Jeder Merge Request durchläuft automatisch:
- SAST (Static Application Security Testing) — SonarQube scannt Code auf Schwachstellen
- Dependency Scanning — OWASP Dependency-Check kontrolliert bekannte CVEs in Bibliotheken
- Secret Detection — GitLeaks sucht nach versehentlich committeten API-Schlüsseln und Passwörtern
- Container Scanning — Trivy scannt Docker Images
Security Champions¶
In jedem Entwicklungsteam ein „Security Champion” — ein Entwickler mit Interesse an Sicherheit, der ein zusätzliches Training absolviert hat. Kein Sicherheitsexperte, aber fähig, grundlegende Probleme im Code Review zu identifizieren und zu eskalieren.
Metriken¶
Wir verfolgen: mittlere Reparaturzeit kritischer Schwachstellen (MTTR), Anzahl der im CI vs. in der Produktion gefundenen Schwachstellen, False-Positive-Rate. Ziel: 90% der Schwachstellen vor dem Produktions-Deployment gefunden.
Sicherheit ist Teamverantwortung¶
DevSecOps dreht sich nicht um Tools — es geht um Kultur. Wenn ein Entwickler ab der ersten Zeile an Sicherheit denkt, ist das Ergebnis sicherere Software.
Brauchen Sie Hilfe bei der Implementierung?
Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.
Kontaktieren Sie uns