Knapp ein Jahr ist es her, dass die Weltgesundheitsorganisation (WHO) COVID-19 offiziell als Pandemie eingestuft hat. Seit dieser Zeit arbeiteten Software-Entwickler im Hintergrund unaufhörlich daran, die Business-Welt zu digitalisieren und Unternehmen die Potenziale der Digitalisierung zu erschließen. Es wird aber vergleichsweise selten darüber berichtet, wie es ihnen dabei ergangen ist und wie sich ihr Berufsalltag verändert hat.

Checkmarx ist nun in einer Umfrage unter US-amerikanischen Software-Entwicklern genau diesen Fragen nachgegangen. Die Ergebnisse lassen sich auf Entwickler und Arbeitssituationen in DACH übertragen. Der vorliegende Puls-Check zeigt, wie die Pandemie den Alltag der Entwickler beeinflusst, was sie belastet, wie sich ihre Sicht auf die Application Security verändert hat und was sie sich von den Unternehmen erhoffen.

Die Ergebnisse in Kürze:

Steigende Erwartungen an die Geschwindigkeit der Entwicklung bergen neue Herausforderungen und erfordern den Einsatz innovativer Technologien.
In der Software-Entwicklung hat die Time-to-Market seit Jahren hohe, wenn nicht höchste Priorität. Die Pandemie hat diesen Effekt weiter verstärkt: Immer mehr Unternehmen nehmen die Digitalisierung in Angriff und streben nach Software Agilität, Innovation und Stabilität. Nahezu die Hälfte der befragten Entwickler (46 %) gibt an, dass sich das Tempo, in dem sie Software entwickeln und bereitstellen sollen, im Vergleich zur Zeit vor der Pandemie etwas oder drastisch erhöht hat.

Entwickler arbeiteten schon vor der Krise unter hohem Druck, und mit dem Wechsel ins Homeoffice kam ein weiterer Stressfaktor hinzu.
Daher ist es verständlich, dass bei der Frage nach der größten Herausforderung, mit der sie sich während der Pandemie im Arbeitsalltag konfrontiert sahen, zwei Punkte besonders herausstechen: die Schwierigkeit, mit der steigenden Entwicklungsgeschwindigkeit und immer höheren Anforderungen Schritt zu halten (36 %), und die schwierige Zusammenarbeit mit allen relevanten Teams (z. B. Entwickler-, Operations- und Security-Teams) im Homeoffice (36 %).

Auch die zunehmende Verantwortung für die Security (14 %) und der Abbau von Ressourcen (11 %) werden vielfach als Belastung wahrgenommen.
Wie gehen Entwickler mit diesen Erwartungen um? Die Umfrage zeigt, dass sie in den vergangenen zwölf Monaten verstärkt auf eine breite Palette von Tools und Komponenten zurückgegriffen haben, um effizienter zu arbeiten.

Die drei wichtigsten sind:
  1. Open Source
  2. Automatisiertes Security-Testing
  3. Infrastructure-as-Code

Während der Pandemie sind viele Software-Entwickler in die Cloud migriert – Cloud-natives Security-Testing hinkt hinterher.
Obwohl die Migration in die Cloud bereits seit einiger Zeit voranschreitet, besteht kein Zweifel daran, dass die Pandemie ihr nochmal einen gewaltigen Schub versetzt hat. Mehr als die Hälfte aller Befragten (59 %) gaben an, dass die Anzahl der Anwendungen, die sie in der Cloud entwickeln, im Vergleich zu vor der Pandemie etwas oder erheblich gestiegen ist.

Auf die Frage nach dem Motor hinter der Migration wird erneut das hohe Entwicklungstempo genannt. 48 Prozent der Entwickler geben an, dass sie in der Cloud schneller entwickeln und bereitstellen können. Mehr als jeder Vierte (26 %) betont, dass die Flexibilität, die Cloud-Umgebungen mit Blick auf Betriebssysteme, Sprachen und Plattformen bieten, für sie ausschlaggebend ist. 15 Prozent nannten die höhere Application Security als Grund.

Mit den Vorteilen der Cloud gehen auch viele Security-Risiken einher. Cloud-Anwendungen umfassen zahlreiche Komponenten, von denen jede eigene Risiken birgt und spezielle Testmethoden erfordert. Besonders besorgniserregend ist, dass jeder sechste Entwickler (15 %) bei der Entwicklung Cloud-nativer Anwendungen überhaupt keine Security-Tests durchführt.

Bei der Frage, für welche Cloud-nativen Technologien und Komponenten die Entwickler, die Anwendungen in der Cloud entwickeln, Security-Tests durchführen, zeichnete sich leider auch kein schöneres Bild ab: Nur die Hälfte beantwortete die Frage mit Infrastructure-as-Code. 45 % mit APIs. 44 % sagten Microservices, 32 % Container und 28 % serverlose Architekturen.

Da sich Cloud-native Technologien unweigerlich durchsetzen werden, müssen Entwickler und Unternehmen die richtige Balance zwischen der schnellen Einführung und der Security finden.

Security fällt immer öfter in die Verantwortung von Entwicklern und zwingt sie, sich in AppSec-Fragen weiterzubilden.
Unternehmen sind zunehmend dezentral organisiert, und damit wächst auch ihre Angriffsfläche. Daher muss die Application Security und die sichere Code-Entwicklung hohe Priorität erhalten. Auch wenn die Debatte darüber, wer für die Application Security verantwortlich ist, nach wie vor hitzig weitergeführt wird, belegt die Befragung, dass sie inzwischen ganz mehr und mehr auf die Entwickler übergeht – ob sie es wollen oder nicht.

Tatsächlich haben wir festgestellt, dass mehr als die Hälfte aller Befragten (55 %) während der COVID-19 Pandemie etwas oder auch erheblich mehr Verantwortung für die Application Security übernommen haben. Da sich die Verantwortung für die Application Security allmählich von der IT über DevOps zu den Entwicklern verlagert, müssen diese lernen, die Development Pipeline zu schützen.

Und das wissen die Entwickler auch: Auf die Frage, welche Skills sie während der Pandemie vorrangig erlernt oder weiterentwickelt haben, waren AppSec und Secure Coding die häufigsten Antworten (46 %). Sie sind aber auch entschlossen, ihre Kenntnisse neuer Technologien und Verfahren zu verbessern, etwa in den Bereichen API-Entwicklung (43 %), Cloud-native Entwicklung (40 %), IaC-Konfiguration (34 %) und DevOps (31 %).

Was brauchen Entwickler wirklich?
Wie dieser Bericht zeigt, müssen Entwickler heute mehr Aufgaben übernehmen, besonders, wenn es um die Security geht, und gleichzeitig die treibende Kraft für Innovation und Transformation sein. Das können sie im Alleingang nicht bewältigen – sie brauchen Unterstützung.

Wir haben die Entwickler gefragt, was die Unternehmen mit Blick auf die Ownership der Security tun können, um das Handling der Application-Security zu vereinfachen.

  • An erster Stelle stand der Wunsch nach mehr AppSec-Schulungen (36 %). Und dann?
  • Die direkte Integration von Security in den Workflow (z. B. SCMs, CI/CDs und IDEs) (27 %)
  • Mehr Investitionen in automatisiertes Security-Testing (23 %)
  • Optimierung der Zusammenarbeit zwischen Developer-, Operations- und Security-Teams (11 %)

Da die Sicherheit der Anwendungen immer mehr in den Aufgabenbereich der Entwickler rückt, müssen Unternehmen ihnen ein Stückweit entgegenkommen:

  • Geben Sie ihnen das, was sie sich am meisten wünschen: Training und Ausbildung
    Stellen Sie sicher, dass Schulungen zu sicherem Coding und AppSec-Trainings relevant, zugänglich, zeitnah und effektiv sind. Sie sollten nahtlos in den Alltag integriert werden und einen dauerhaften Mehrwert bieten – keine lästige Aufgabe auf der To-Do-Liste sein.

  • Investieren Sie in die richtigen Tools für das Application Security Testing
    Versuchen Sie nicht, einen eckigen Pflock in ein rundes Loch zu schlagen, indem Sie Ihre Entwickler zwingen, Tools zu verwenden, die sich nicht in bestehende Software-Development-Pipelines und Workflows integrieren lassen. Stellen Sie sicher, dass die Tools automatisierbar sind und kontinuierliche Scans unterstützen, und zwar von der ersten Codezeile bis nach der Bereitstellung der Software und der Veröffentlichung von Patches.

  • Vermeiden Sie Silos zwischen den Teams
    In den verteilten und remote agierenden Teams von heute wird eine effiziente Zusammenarbeit immer wichtiger. Wenn Developer-, Operations- und Security-Teams nicht an einem Strang ziehen, sind Verzögerungen und potenzielle Sicherheitsrisiken unausweichlich – denn Konflikte lassen sich, anders als im klassischen Office, nicht in Echtzeit und von Angesicht zu Angesicht lösen. Schlussendlich arbeiten aber alle Teams auf das gleiche Ziel hin: sichere Software so schnell wie möglich bereitzustellen.

  • Hören Sie auf die Entwickler und ihre Bedürfnisse
    Die Arbeitsbelastung auf den Schultern Ihrer Entwickler ist enorm – suchen Sie also nach Möglichkeiten, sie nachhaltig zu entlasten. Stellen Sie sicher, dass die Entwickler die Verantwortung für die Security nicht alleine tragen müssen, sondern dass jeder seinen Teil beiträgt. Und schließlich: Achten Sie auf erste Anzeichen von Burnout und bekämpfen Sie diese frühzeitig.

Über die Umfrage
Die Checkmarx Umfrage analysiert die Antworten von mehr als 250 Software-Entwicklern. Alle waren in den Vereinigten Staaten ansässig und über 18 Jahre alt. Die Umfrage wurde im Februar 2021 über das Online-Marktforschungsunternehmen Dynata durchgeführt.

Weitere Beiträge....