DevSecOps: Security in der CI/CD-Pipeline implementieren

DevSecOps steht für Development, Security und Operations — die Integration von Sicherheit in den gesamten Software-Entwicklungslebenszyklus. Statt Sicherheit als nachträglichen Check vor dem Release zu behandeln, wird sie in jeden Schritt der CI/CD-Pipeline eingebaut: von der Code-Analyse über Container-Scanning bis zum Production-Monitoring.

Was ist DevSecOps?

DevSecOps erweitert DevOps um den Sicherheitsaspekt. Das Kernprinzip "Shift Left" bedeutet: Sicherheitsprüfungen werden so früh wie möglich im Entwicklungsprozess durchgeführt — beim Commit statt beim Release. Schwachstellen, die in der Entwicklung gefunden werden, kosten 10-100x weniger zu beheben als in der Produktion.

Die 6 Sicherheitsstufen in der CI/CD-Pipeline

1. Pre-Commit: Secrets Scanning (verhindert, dass API-Keys, Passwörter oder Tokens ins Repository gelangen). Tools: git-secrets, TruffleHog, GitLeaks.
2. Build Phase — SAST: Static Application Security Testing analysiert den Quellcode auf Schwachstellen ohne ihn auszuführen. Erkennt SQL Injection, XSS, unsichere Kryptografie. Tools: SonarQube, Checkmarx, Semgrep.
3. Build Phase — SCA: Software Composition Analysis prüft Abhängigkeiten (npm, pip, Maven) auf bekannte Schwachstellen. Erkennt veraltete Libraries mit CVEs. Tools: Snyk, Dependabot, OWASP Dependency-Check.
4. Test Phase — DAST: Dynamic Application Security Testing testet die laufende Anwendung auf Schwachstellen. Simuliert externe Angriffe auf APIs und Web-Oberflächen. Tools: OWASP ZAP, Burp Suite, HCL AppScan.
5. Deploy Phase — Container Security: Image Scanning prüft Container-Images auf Schwachstellen und Fehlkonfigurationen. Tools: Trivy, Prisma Cloud, Aqua Security.
6. Production — Runtime Protection: WAF (Web Application Firewall), RASP (Runtime Application Self-Protection), Monitoring und Alerting. Erkennt und blockiert Angriffe in Echtzeit.

DevSecOps unter DORA und NIS2

• DORA (Art. 8): IKT-Change-Management-Prozesse müssen Sicherheitstests einschließen
• DORA (Art. 15): Sicherheitstests vor und nach Deployments in Produktionsumgebungen
• NIS2 (Art. 21): Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen als Pflichtmaßnahme
• CRA: Hersteller vernetzter Produkte müssen Security-by-Design nachweisen — DevSecOps ist die Methodik dafür

Häufig gestellte Fragen zu DevSecOps

Was ist DevSecOps einfach erklärt?

DevSecOps integriert IT-Sicherheit direkt in den Software-Entwicklungsprozess. Statt Sicherheit erst am Ende zu prüfen, werden automatisierte Sicherheitschecks in jeden Schritt der Entwicklung eingebaut — vom ersten Code-Commit bis zum laufenden Betrieb.

Was ist der Unterschied zwischen DevOps und DevSecOps?

DevOps verbindet Entwicklung und Betrieb für schnellere Software-Releases. DevSecOps fügt Sicherheit als dritte Dimension hinzu. In DevOps ist Sicherheit oft ein nachgelagerter Schritt (Gate vor dem Release). In DevSecOps ist Sicherheit in jeden Schritt integriert (Shift Left) — automatisiert und ohne die Geschwindigkeit zu bremsen.

Was sind die wichtigsten DevSecOps Tools?

SAST: SonarQube (Open Source), Checkmarx, Veracode. SCA: Snyk, Dependabot (GitHub-nativ), OWASP Dependency-Check. DAST: OWASP ZAP (Open Source), Burp Suite. Secrets: GitLeaks, TruffleHog. Container: Trivy (Open Source), Prisma Cloud. Die beste Kombination hängt von Ihrem Tech-Stack und Budget ab.

Wie lange dauert die Einführung von DevSecOps?

Die grundlegende Tool-Integration (SAST + SCA + Secrets Scanning) kann in 2-4 Wochen in eine bestehende CI/CD-Pipeline integriert werden. Die kulturelle Transformation — Entwickler übernehmen Sicherheitsverantwortung — dauert 6-12 Monate. Ein vollständiges DevSecOps-Programm mit allen Stufen ist ein kontinuierlicher Reifeprozess.

Bremst DevSecOps die Entwicklung?

Nein, wenn richtig implementiert. Automatisierte Scans laufen parallel zum Build und fügen typischerweise 2-5 Minuten zur Pipeline hinzu. Falsch implementiert — mit zu vielen False Positives und manuellen Gating-Prozessen — kann DevSecOps die Entwicklung bremsen. Der Schlüssel ist die richtige Tool-Konfiguration und die schrittweise Einführung.