WIE DEVSECOPS SIND SIE SCHON? - WIE MISST MAN DEVSECOPS? - KONRAD HÄFELI SENIOR SOLUTION MANAGER @KONRADHAEFELI - DOAG
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Wie DevSecOps sind Sie schon? – Wie misst man DevSecOps? Konrad Häfeli Senior Solution Manager @KonradHaefeli doag2018
Wir helfen Mehrwerte aus Daten zu generieren 2 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark
Mit über 650 IT- und Fachexperten bei Ihnen vor Ort.
16 Trivadis Niederlassungen mit
über 650 Mitarbeitenden.
Erfahrung aus mehr als 1'900 Projekten
pro Jahr bei über 800 Kunden.
Über 250 Service Level Agreements.
Mehr als 4'000 Trainingsteilnehmer.
Forschungs- und Entwicklungsbudget:
CHF 5.0 Mio. / EUR 4.0 Mio.
Finanziell unabhängig und
nachhaltig profitabel.
3 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark
Motivation DevSecOps
Interesse für DevOps ☺ (Nov 2018)
= Rel. Max of Queries
DevOps
5 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark
Motivation für DevOps?
Ohne DevOps keine Digitale Transformation!
Kundenerwartung
Wettbewerbsfähigkeit
Effizienz
So wie gestern geht’s heut nicht mehr!
6 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark
Why DevSecOps? Promises!
1. Shorter Development Cycles, Faster Innovation
2. Reduced Deployment Failures, Rollbacks, and Time to
Recover
3. Improved Communication and Collaboration
4. Increased Efficiencies
5. Reduced Costs and IT Headcount
6. Build-in Security
7 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark
Ja was ist denn DevOps nun? 8 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark
Definition
DevOps ist eine Entwicklungsmethodik, die zum Ziel hat, die Lücke zwischen
Entwicklung und Betrieb zu schliessen.
Erreicht werden soll dies durch die Nutzung einer Reihe von Entwicklungspraktiken,
die Kommunikation und Collaboration, Continuous Integration,
Qualitätssicherung sowie das automatisierte Deployment von Software als
Liefermethode umfassen."
Die Praktiken erweitern diejenigen der agilen Entwicklung mit Elementen der
Betriebspraxis, wie etwa der Automatisierung der Analyse einer Anwendung im
Betrieb, oder der kontinuierlichen Überwachung der Systemperformance und der
Darstellung dieser Resultate in einem Dashboard.
9 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark
Kulturänderung: Alles oder nichts? 10 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark
Der Pfad zu DevSecOps
Sieht aus wie ein Wasserfall, ist es aber
nicht ☺
Klein Anfangen
Ist ein iterativer selbstverbessernder
Prozess
Erinnerungen an die Einführung von
agile (wie Scrum, Kanban)? DAS WAR
EINFACH!
Haben sie hier angefangen?
Wenn 8 erreicht ist, fängt das Spiel
wieder von vorne an. Aber mit mehr
Erfahrung und mehr Multiplikatoren
12 20.11.2018 Trivadis DOAG18: DevSecOps BenchmarkA path to DevSecOps
Toolchain development ist spat in diesem
Prozess
Aber kommt normalerweise früh
Warum?
Toolchain development muss
bei Punkt 8 nochmals
13 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark angegangen werdenAssess & Benchmark
It’s a transformation and
improvement journey
Support from the beginning
Help with the reorganization
Enable discussions
Qualify ideas early
Benchmark topics
14 20.11.2018 Trivadis DOAG18: DevSecOps BenchmarkBenefit of a benchmark
Understand why you need DevSecOps (or not)
Understand what DevSecOps is about (Focus on
what…)
Recognize that you are in a organizational and
technical transformation process
Assess where you are in this process
Develop ideas about how to proceed and what to
do next and what not
Regular progress control
15 20.11.2018 Trivadis DOAG18: DevSecOps BenchmarkEin paar Bemerkungen zu „Sec“… 16 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark
Why „Sec“?
Nobody wants to be on such a
list…
Equifax, July 29 2017
Personal information (including
Social Security Numbers, birth
dates, addresses, and in some
cases drivers' license
numbers) of 143 million
consumers
209,000 consumers also had
their credit card data exposed
https://www.csoonline.com/article/2130877/data
-breach/the-biggest-data-breaches-of-the-21st-
century.html
17 20.11.2018 Trivadis DOAG18: DevSecOps Benchmarkhttps://staysafeonline.org/
Why „Sec“?
And the smaller companies?
Almost 50 percent of small
businesses have experienced …
a cyber attack
…
More than 70 percent of
attacks target small
businesses
… …
As much as 60 percent of
hacked small and medium-
sized businesses go out of
business after six months
…
18 20.11.2018 Trivadis DOAG18: DevSecOps Benchmarkhttps://staysafeonline.org/
Why „Sec“?
How do the costs of a security
issue add up across 6
categories?
https://thenextweb.com/security
19 20.11.2018 Trivadis DOAG18: DevSecOps BenchmarkWhy „Sec“? … Gartner Strategic Trends 2018 20 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark
Why „Sec“? Continuous Adaptive Risk and Trust
> 10% of big
companies are
> 70% perform automated introducing deceptive
vulnerability and tools and tactics
configuration scans 25% of the new
projects follow the
CARTA approach
2019 2020 2021 2022 2023
21 20.11.2018 Trivadis DOAG18: DevSecOps BenchmarkContinuous Adaptive Risk and Trust: build-in security 22 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark
Continuous Adaptive Risk and Trust: build-in security
6) Signature Verify,
Integrity Checks,
DND Measures
Automatic rejection in
case of faulty certificates
Signing delivered
components by e.g.
Developers certificates.
5) Software Signing
23 20.11.2018 Trivadis DOAG18: DevSecOps BenchmarkZurück zum Benchmark
… wie erstellt man einen?
24 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark1. Definition des „warum“ des Benchmark
Verstehen, worum es bei DevSecOps geht
("was".... nicht "wie")
Erkennen, dass es sich um einen
Transformationsprozess handelt.
Überprüfen, wo Sie sich gerade in diesem
Prozess befinden. Finden einiger leicht
verständliche KPIs, um dies zu beschreiben
Diskussionen zwischen möglichst vielen
Interessengruppen
Ideen entwickeln, was als nächstes zu tun
ist und was nicht
Regelmäßige Fortschrittskontrolle
25 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark2. Definition von Metriken
Vergabe eines Reifegrades für den Status der Organisation
Typischerweise ein Wert zwischen 1 und einem Maximum
Minimal (1) Basis (2) Im Übergang (3) Transformed (4)
Die Organisation hat Es gibt erte bottom-up Eigenschaften der Selbstverbesserndes
so gut wie keine Ansätze und isolierte Organisation die die DevOps vom Feinsten
Schritte in Richtung DevOps Gruppen. Es Ausrichtung auf die ☺
DevOps unternommen fehlen ein umfassendes Erzeugung von
und ist nicht auf die Konzept und ein Business Value
Transformation organisationsweites betreffen.
vorbereitet. Vorgehen.
26 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark3. Definition von Themen und Kategorien
Blick auf DevOps von verschiedenen Seiten (Themen)
Pro Thema werden später Kategorieren definiert für eine bessere Strukturierung
Mensch & Kultur DevOps Agilität Business Value Automatisierung Security
und Tools
Die Kultur der Eigenschaften der Eigenschaften der Aussagen über Aussagen über
Organisation, ein- Organisation bzgl. Organisation die den Einsatz von den Grad der
schließlich Kun- Agilität, d.h. Reife die Ausrichtung Praktiken und integrierten und
denorientierung, von z.B. Scrum, auf die Erzeugung Werkzeugen zur gelebten Security.
Innovations- und Einsatz agiler von Business Vaue Automatisiserung Informationssiche
Risikobereitschaft Praktiken, Lean betreffen. Testing, rheit,Datenschutz,
und Sensibilisier- Management. Continuous Technische
ung für die interagtion und Sicherheit,
Bewältigung des Continuous Governance und
Wandels. Deployment. Compliance.
27 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark4. Definition und Zuweisung von Aussagen
Pro Aussage Some of us do not care about the
result. They do minimal business.
Beschrieb des Faktums. Das ist entweder WAHR
oder FALSCH for die ganze Organisation Everyone in our team is
willing to share & learn
Es ist exakt einem Thema zugewiesen
Es ist exakt einem Reifegrad zugewiesen There are no coding guidelines or
they are not always respected.
Die Aussagen sind nach Thema kategorisiert und
die Diskussion zu steuern, z.B. "Change We proactively participate to improve
management", "Testing", "Monitoring", ... company policies
Die Aussagen bauen aufeinander auf um die
varierenden Reifegrade darzustellen. Sometimes our stakeholders are
surprised by changes in the product.
Our Stakeholders are updated on
roadmap progress each month
28 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark4. Aussagen auswählen und zuordnen
Zunehmende Anforderungen
29 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark4. Aussagen auswählen und zuordnen
Erledigt ☺
Das bestehende Assessment beinhaltet
264 Aussagen
Jede Aussage kann zu z.T. hitzigen
Diskussionen führen. Das braucht i.d.R.
einen Mediator ☺
Mindestens ein Teilnehmer sollte genau
Wissen was sich hinter den Aussagen
verbirgt – ein Moderator ist darum von
Vorteil
30 20.11.2018 Trivadis DOAG18: DevSecOps BenchmarkAls Nächtes:
Durchführung des Benchmarks
31 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark1. Die richtigen Leute
Jeder des (geplanten) DevOps Teams
Jeder direkte Stakeholder, speziell
Produkt- und IT Manager
Wenn möglich auch das Senior
Management
… für einen ganzen Tag “blocken”
32 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark2. Workshop Durchführung
Die Menschen physisch zusammen bringen.
Keine Telefonkonferenzen! Die richtige
Umgebung bereitstellen
Den Ablauf erklären
Diskussionen protokollieren
Die Themen bearbeiten und den Reifegrad
für jedes Thema schätzen
Die Ergebnisse konsolidieren
Bei mehreren DevOps Teams:
Ergebnisse sammeln und die Bewertung mit
Vertretern der Teams durchführen
Konsolidierte Ansicht erstellen
33 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark2.1 Für jedes Thema…
Für jedes Thema Zeile für Zeile von links nach
rechts durcharbeiten
Jede Aussage diskutieren und die richtige Aussage
mit dem höchsten Reifegrad markieren
Auch die Anweisungen der höheren Ebenen
beachten, was muss passieren, um dorthin zu
gelangen?
Was muss passieren, damit beim nächsten Mal
nicht plötzlich ein gesetztes Häkchen verloren geht
Den Reifegrad für das Thema anhand der Häkchen
schätzen … erwarten Sie Disskusionen pro
Alles protokolliert, alles! Aussage von 1 – 60 minutes
Nach jedem Thema eine Pause machen ☺
34 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark2.2 Konsolidieren
Gesamtreifegrad durch
Mittelung bestimmen
In anschließenden Workshops:
Verfeinern der
protokollierten Aussagen
und Ideen
Sicherstellung der
Priorisierung
Betreuung bei der
Umsetzung
Und planen der Wiederholung
der Bewertung in
regelmäßigen Abständen
35 20.11.2018 Trivadis DOAG18: DevSecOps BenchmarkErgebnis
Eine Schätzung, wo Sie sich im
Transformationsprozess befinden. Einfache
KPIs, (die selbst ein Manager versteht ;-) )
Diskussionen zwischen den Beteiligten und
damit die Grundlage für Transparenz
Ideen als Input für den
Verbesserungsprozess
.... und eine regelmäßige
Fortschrittskontrolle
36 20.11.2018 Trivadis DOAG18: DevSecOps BenchmarkDevSecOps Online Benchmark
(experimental)
https://assessments.trivadis.com/devops
37 20.11.2018 Trivadis DOAG18: DevSecOps BenchmarkDevSecOps Online Benchmark
(experimental)
Gibt einen Eindruck davon, wie der Benchmark
funktioniert.
Hat (derzeit) den vollen Umfang von 5 Themen,
4 Ebenen und 264 Aussagen/Fakten. https://assessments.trivadis.com/devops
Gibt erste Ideen, wo man stehen soll und was
man tun soll.
Kann eine moderierte Bewertung NICHT
ersetzen.
Regelmäßig aktualisiert
38 20.11.2018 Trivadis DOAG18: DevSecOps BenchmarkFazit 39 20.11.2018 Trivadis DOAG18: DevSecOps Benchmark
Fazit
Ohne DevOps keine Digitale Transformation
Die Security Betrachtung ist essentiell
Standortbestimmung durch einen Benchmark macht Sinn
Einfache Identifizierung ganzer Handlungsfelder
Identifizierung erster konkreter Optimierungspotentiale in Einzelbereichen
Durch regelmässiges Benchmarken einfache Visualisierung und Protokollierung des
Fortschritts
Keine „DEVelopment hOPeS“, sondern, bewusste
Transformation der Entwicklungs und Betriebsmethodik
40 20.11.2018 Trivadis DOAG18: DevSecOps BenchmarkTrivadis @ DOAG 2018
#opencompany
Stand: 3ter Stock, direkt an der Rolltreppe
Wir teilen unser Know how!
Einfach vorbei kommen, Live-Präsentationen
und Dokumentenarchiv
T-Shirts, Gewinnspiel und mehr
Wir freuen uns wenn Sie vorbei schauen
41 20.11.2018 Trivadis DOAG18: DevSecOps BenchmarkSie können auch lesen
