2026-03-08
By Emre SalmanogluDevSecOps: Der umfassende Leitfaden für Sicherheits- und Engineering-Teams
Erfahren Sie, wie Sie Sicherheit in Ihre CI/CD-Pipeline integrieren und ISO 27001, SOC 2, NIS2 und DORA erfüllen. Behandelt SAST, DAST, SCA, Container-Sicherheit, IaC-Scanning und Compliance-Nachweise.
DevSecOps
Anwendungssicherheit
CI/CD-Sicherheit
Shift Left
Compliance
Was ist DevSecOps?
DevSecOps ist die Praxis, Sicherheit in jede Phase des Software-Entwicklungslebenszyklus zu integrieren, anstatt sie als letzten Kontrollpunkt zu behandeln. Es bettet automatisierte Sicherheitstests in CI/CD-Pipelines ein, macht Sicherheit zu einer gemeinsamen Verantwortung von Entwicklungs-, Sicherheits- und Operations-Teams und stellt sicher, dass Anwendungen von der ersten Codezeile an sicher gebaut werden.
Der Wandel von traditionellen Sicherheitsüberprüfungen zu DevSecOps spiegelt die Realität moderner Softwarebereitstellung wider: Wenn Teams mehrmals täglich deployen, kann Sicherheit nicht auf vierteljährliche Penetrationstests warten. Stattdessen muss Sicherheit kontinuierlich, automatisiert und entwicklerfreundlich sein.
DevSecOps-Pipeline-Phasen
| Phase | Sicherheitsaktivitäten | Tools |
|---|---|---|
| Planung | Bedrohungsmodellierung, Sicherheitsanforderungen, sichere Designmuster | STRIDE, OWASP-Bedrohungsmodelle |
| Code | Sichere Codierungsstandards, Pre-Commit-Hooks, IDE-Sicherheitsplugins | Semgrep, SonarLint, ESLint-Sicherheitsregeln |
| Build | SAST, SCA, Abhängigkeitsscan, Secrets-Erkennung | Semgrep, Snyk, GitLeaks, Trivy |
| Test | DAST, API-Sicherheitstests, Container-Scanning | OWASP ZAP, Burp Suite, Trivy |
| Deploy | IaC-Scanning, Admission Controller, Image-Signing | Checkov, OPA/Gatekeeper, Cosign |
| Betrieb | Runtime-Schutz, WAF, RASP | Falco, ModSecurity, Cloud-WAF |
| Überwachung | Schwachstellenmonitoring, SBOM-Tracking, CVE-Alarmierung | Dependabot, Snyk Monitor, Grype |
Sicherheitstest-Typen
| Testtyp | Was er analysiert | Wann er läuft | Erkennungsstärke |
|---|---|---|---|
| SAST | Quellcode, Bytecode | Build-Zeit | Code-Level-Schwachstellen (SQLi, XSS, Injection) |
| DAST | Laufende Anwendung | Nach Bereitstellung | Runtime-Schwachstellen, Fehlkonfigurationen |
| SCA | Drittanbieter-Abhängigkeiten | Build-Zeit | Bekannte CVEs in Open-Source-Bibliotheken |
| IAST | Anwendung während des Testens | Integrationstests | Runtime-Codepfade mit Kontext |
| Secrets-Erkennung | Code, Konfigurationen, Commits | Pre-Commit, Build | Hartcodierte Credentials, API-Keys, Token |
| IaC-Scanning | Terraform, CloudFormation, K8s-Manifeste | Vor Bereitstellung | Infrastruktur-Fehlkonfigurationen |
| Container-Scanning | Docker-Images, Registries | Build, Deploy, Runtime | Image-Schwachstellen, Fehlkonfigurationen |
Schwachstellenmanagement in DevSecOps
| Schweregrad | SLA (MTTR) | Pipeline-Aktion | Beispiel |
|---|---|---|---|
| Kritisch | 24 Stunden | Deployment blockieren | Remote Code Execution, SQL-Injection |
| Hoch | 7 Tage | Deployment blockieren | Authentifizierungsumgehung, SSRF |
| Mittel | 30 Tage | Warnen, Deployment erlauben | XSS (gespeichert), unsichere Deserialisierung |
| Niedrig | 90 Tage | Nur informieren | Informationspreisgabe, detaillierte Fehlermeldungen |
Software-Lieferkettensicherheit
| Kontrolle | Was sie macht | Tools |
|---|---|---|
| SBOM-Generierung | Inventar aller Softwarekomponenten erstellen | Syft, CycloneDX, SPDX |
| Abhängigkeitsscan | Bekannte Schwachstellen in Abhängigkeiten identifizieren | Snyk, Dependabot, Renovate |
| Lizenz-Compliance | Restriktive oder inkompatible Lizenzen erkennen | FOSSA, Snyk, WhiteSource |
| Artefakt-Signierung | Build-Artefakte kryptografisch signieren | Cosign, Sigstore, Notary |
| Herkunftsnachweis | Beweisen, wo und wie Artefakte gebaut wurden | SLSA-Framework, in-toto |
| Registry-Sicherheit | Kontrollieren, welche Images deployed werden dürfen | Harbor, Admission Controller |
Secrets-Management
| Ansatz | Sicherheitsstufe | Anwendungsfall |
|---|---|---|
| Umgebungsvariablen | Niedrig | Nur lokale Entwicklung |
| Verschlüsselte Konfigurationsdateien | Mittel | Einfache Deployments |
| Secrets-Manager | Hoch | Produktionssysteme (AWS Secrets Manager, HashiCorp Vault, Azure Key Vault) |
| Kurzlebige Token | Sehr hoch | Service-zu-Service-Authentifizierung |
| Workload Identity | Sehr hoch | Cloud-native Anwendungen (überhaupt keine Secrets) |
Compliance-Anforderungen
Framework-Zuordnung
| Anforderung | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|---|---|---|---|
| Sichere Entwicklungsrichtlinie | A.8.25 | CC8.1 | Art. 21(2)(e) | Art. 8(1) |
| Sicherheitstests | A.8.29 | CC8.1 | Art. 21(2)(e) | Art. 8(3) |
| Sichere Codierungspraktiken | A.8.28 | CC8.1 | Art. 21(2)(e) | Art. 8(1) |
| Änderungsmanagement | A.8.32 | CC8.1 | Art. 21(2)(e) | Art. 8(2) |
| Umgebungstrennung | A.8.31 | CC6.7 | Art. 21(2)(e) | Art. 8(4) |
| Schwachstellenmanagement | A.8.8 | CC7.1 | Art. 21(2)(e) | Art. 8(3) |
| Drittanbieter-Komponentensicherheit | A.8.30 | CC9.2 | Art. 21(2)(d) | Art. 8(5) |
Auditnachweise
| Nachweistyp | Beschreibung | Framework |
|---|---|---|
| Sichere Entwicklungsrichtlinie | Dokumentierter SDLC mit Sicherheits-Integrationspunkten | Alle Frameworks |
| Pipeline-Sicherheitskonfiguration | CI/CD-Pipeline mit Sicherheits-Gates und Scans | ISO 27001, SOC 2 |
| SAST/DAST-Scan-Berichte | Regelmäßige Scan-Ergebnisse mit Behebungsnachweisen | Alle Frameworks |
| Abhängigkeits-Schwachstellenberichte | SCA-Berichte mit bekannten Schwachstellen und Patches | Alle Frameworks |
| Code-Review-Aufzeichnungen | Pull-Request-Reviews mit Sicherheitsaspekten | ISO 27001, SOC 2 |
| Schwachstellenbehebungs-Aufzeichnungen | Tickets mit Entdeckung-bis-Fix-Zeitlinie | Alle Frameworks |
| Umgebungstrennungs-Nachweise | Konfiguration zum Nachweis der Dev/Staging/Production-Isolation | ISO 27001, DORA |
Häufige Fehler
| Fehler | Risiko | Lösung |
|---|---|---|
| Sicherheitsscans ohne Durchsetzung | Schwachstellen werden trotz Erkennung deployed | Blockierende Gates für kritische/hohe Findings implementieren |
| Nur auf Main-Branch scannen | Schwachstellen werden zu spät im Entwicklungsprozess gefunden | Bei jedem Pull Request und Feature Branch scannen |
| Abhängigkeits-Schwachstellen ignorieren | Bekannte CVEs in Produktionsanwendungen | Abhängigkeitsaktualisierungen mit Dependabot/Renovate automatisieren |
| Hartcodierte Secrets im Code | Credential-Preisgabe über Versionskontrolle | Pre-Commit-Hooks mit Secrets-Erkennung, Secrets-Manager verwenden |
| Kein Container-Image-Scanning | Verwundbare Base-Images in der Produktion | Images beim Build, in Registries und bei Admission scannen |
| Sicherheitsteam als Flaschenhals | Entwickler umgehen Sicherheit, um Deadlines einzuhalten | Self-Service-Sicherheitstools, automatisierte Pipelines, Entwicklertraining |
Wie Orbiq DevSecOps-Compliance unterstützt
Orbiq hilft Ihnen, sichere Entwicklungspraktiken nachzuweisen:
- Evidenzsammlung — Pipeline-Konfigurationen, Scan-Berichte und Behebungsaufzeichnungen zentralisieren
- Kontinuierliche Überwachung — DevSecOps-Reife und Schwachstellentrends verfolgen
- Trust Center — Ihre sichere Entwicklungslage über Ihr Trust Center teilen
- Compliance-Mapping — DevSecOps-Kontrollen auf ISO 27001, SOC 2, NIS2 und DORA abbilden
- Audit-Bereitschaft — Vorgefertigte Evidenzpakete für die Auditorenprüfung
Weiterführende Artikel
- Schwachstellenmanagement — Management von Schwachstellen in der gesamten Organisation
- Lieferkettensicherheit — Absicherung von Drittanbieter-Komponenten
- Cloud Security Posture Management — Absicherung der Cloud-Infrastruktur
- Verschlüsselung — Schutz von Secrets und Daten bei der Übertragung
- Incident Response — Reaktion auf Sicherheitsschwachstellen in der Produktion
- Bedrohungsmodellierung — Bedrohungen während des Designs identifizieren