Die Reibung zwischen Entwicklung und Sicherheit: Wie beeinflusst sie die Softwarequalität?
In der Welt der Softwareentwicklung stehen Entwickler oft unter dem Druck, neue Funktionen schnell bereitzustellen, während Sicherheitsteams die Risikominderung priorisieren, was die beiden oft gegeneinander stellt. Laut einer Studie gaben 61% der Entwickler an, dass es entscheidend ist, dass Sicherheit nicht den Entwicklungsprozess blockiert oder verlangsamt oder zum Hindernis für den Geschäftserfolg wird. Trotzdem ist die Zusammenarbeit zwischen Entwicklungs- und Sicherheitsteams entscheidend, um sowohl die Softwarequalität als auch die Sicherheit zu stärken, insbesondere vor dem Hintergrund der steigenden Anzahl von Datenlecks und Ransomware-Angriffen.
Ein Beispiel für die Auswirkungen dieser Reibung ist die Log4Shell-Schwachstelle, die eine kritische Schwachstelle in einer weit verbreiteten Open-Source-Bibliothek offenlegte und zeigte, wie ein einzelnes übersehenes Problem in der Software-Lieferkette weitreichende Risiken schaffen kann.
In Sonatype's Bericht für das erste Quartal 2025 wurden 17.954 Open-Source-Malware-Pakete identifiziert, was zeigt, dass Angreifer ihren Fokus auf die Software-Lieferkette richten. In einigen Organisationen wird Sicherheit als letzte Kontrollinstanz behandelt, anstatt als fester Bestandteil des Entwicklungsprozesses. Wenn Probleme spät entdeckt werden, führt dies zu Verzögerungen, zusätzlicher Arbeit und Spannungen zwischen den Teams. Sicherheitsteams versuchen, Risiken zu reduzieren, indem sie Kontrollen oder Richtlinien implementieren, die von Entwicklern oft als zu komplex empfunden werden. Diese Regeln können wie Hindernisse wirken, die Frustration anstatt Hilfe verursachen.
Um diese Reibung zu überwinden, gibt es verschiedene Strategien:
– Shift-Left-Sicherheitsansatz: Hierbei werden Sicherheitsprüfungen frühzeitig in den Entwicklungsprozess integriert, idealerweise während des Schreibens oder Testens des Codes, ohne die Workflows zu stören. Dies hilft dabei, Probleme frühzeitig zu erkennen und reduziert den Aufwand für spätere Korrekturen.
– Verwendung von Tools, die in den Workflow passen: Sicherheitstools sollten dort funktionieren, wo Entwickler bereits arbeiten, in ihren Code-Editoren, in Pull Requests, im CI/CD-Pipeline. Automatisierte Tools können beispielsweise nach schlechten Abhängigkeiten oder unsicheren Codes suchen. Wenn sie einfach sind und nützliches Feedback geben, werden Entwickler sie nutzen. Dies ist das Grundprinzip von DevSecOps, bei dem Sicherheitstools in den Entwicklungsprozess integriert werden, anstatt darum herum.
Quelle: https://www.helpnetsecurity.com/2025/06/03/developer-security-team-friction/
