Vorwort

Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com

DevSecOps-Aufträge gibt es zuhauf, aber wenn man sich die Anforderungen für diese Jobs ansieht, wird schnell klar, dass es keine Einigkeit darüber gibt, was DevSecOps eigentlich beinhaltet. Deshalb war es auch so schwierig, dieses Buch zu schreiben. Ich habe Bücher über alles geschrieben, von MySQL über JavaScript bis hin zu Windows Server und Linux Firewalls. Jede dieser Technologien hat einen klar definierten Bereich. Wenn du über Linux-Firewalls schreibst, musst du nicht mehrere verschiedene Technologien und Fähigkeiten in einem Buch behandeln. Aber DevSecOps ist nicht so klar definiert. Wenn du über DevSecOps schreibst, wirst du feststellen, dass die Definition von Technologien, die tatsächliche praktische Arbeit und der Hype auseinanderklaffen. Selbst der Begriff "DevSecOps" ist nicht so weit verbreitet wie der Begriff "DevOps". Zugegeben, "DevSecOps" geht nicht so leicht von der Zunge wie "DevOps", aber es geht um mehr als das. Der Definition von DevSecOps eine Stimme zu geben, ist einer der Gründe, warum ich dieses Buch geschrieben habe.

Das Ziel dieses Buches ist es nicht, eine umfassende Schritt-für-Schritt-Anleitung für die Implementierung von DevSecOps zu sein, was auch immer der Begriff bedeutet. Ein solches Buch ist aufgrund der rasanten Veränderungen bei den Tools und der sehr individuellen Bedürfnisse jeder Organisation, die sich auf DevSecOps umstellt, unmöglich zu schreiben. Das Ziel dieses Buches ist es vielmehr, Erfolgsmuster zu vermitteln und gleichzeitig einige der Technologien und Praktiken aufzuzeigen, die bei großen DevSecOps-Implementierungen zum Einsatz kommen. Das Buch deckt nicht jedes Software-Tool ab, das ein Unternehmen im Rahmen von DevSecOps einsetzen könnte. Das ist kein Versäumnis, oder wenn doch, dann ist es Absicht, damit der Fokus auf Prozessen und Menschen und nicht auf Technologie und Tools liegt. Technik und Tools werden sich ändern, aber die besten Leute, die die besten Prozesse umsetzen, werden immer funktionieren.

Was ist DevSecOps?

Was ist DevSecOps? Das hängt davon ab, wen du fragst. Wie in diesem Buch definiert, ist DevSecOps eine Reihe von agilen und iterativen Praktiken, die dazu beitragen, Software- und Technologiesysteme schnell, präzise und wiederholt bereitzustellen, wobei Prozesse und Menschen wichtiger sind als Werkzeuge.

Bei DevSecOps geht es zuerst um die Kultur. Ich habe für Organisationen gearbeitet, die so weit von agilen und iterativen Ansätzen entfernt waren, dass sie den Lebenszyklus der Softwareentwicklung zurückdrehten. In solchen Organisationen werden Technologien von unqualifizierten Leuten ausgewählt, ohne Rücksicht auf Arbeitsabläufe, Produktivität oder bewährte Methoden, geschweige denn auf den Endnutzer. Fristen werden festgelegt, bevor wir überhaupt wissen, was wir bauen. Im Gegensatz dazu stehen DevSecOps-Kulturen, in denen Testen und Sicherheit natürliche Erweiterungen des Entwicklungsprozesses sind und nicht nachträglich hinzugefügt werden. Automatisierung und Skripting werden bei DevOps und DevSecOps groß geschrieben.

Die Informatik hat eine großartige Art, sich immer wieder neu zu erfinden. Viele der in diesem Buch vorgestellten Praktiken gibt es schon seit den Anfängen der Computertechnik. Mainframes ermöglichten es, Rechenzeit und -ressourcen in Scheiben zu schneiden, und genau das tun wir heute mit der Cloud-Bereitstellung, nur in größerem Maßstab. Viele der Dinge, die wir heute als moderne DevSecOps-Praktiken anwenden, gibt es schon seit Jahrzehnten unter Linux. Skripte und Automatisierung sind nicht neu, aber sie zu formalisieren und die Zustimmung aller Beteiligten in einem Unternehmen zu bekommen, das ist der Wert von DevSecOps. Das ist der Kern von DevSecOps: Menschen in die Lage versetzen, Prozesse und Werkzeuge zu nutzen, um die Qualität der Software schnell und wiederholt zu verbessern.

Für wen ist dieses Buch?

Dieses Buch richtet sich an alle, die mehr über DevSecOps und seinen Vorgänger DevOps erfahren möchten. Vielleicht bist du in der Entwicklung, im Betrieb oder in der Sicherheit tätig und möchtest mehr über die Verschmelzung aller drei Bereiche zu einer Reihe von Werkzeugen und Prozessen erfahren, die den Einsatz auf Produktionsebene erleichtern. Um den größtmöglichen Nutzen aus dem gesamten Buch zu ziehen, solltest du einen Computerhintergrund haben, aber jeder, der sich für DevSecOps interessiert, wird von Kapitel 1 profitieren, auch diejenigen ohne Computerhintergrund.

Die Möglichkeit, Code zu schreiben, ihn zu übertragen und zu pushen und automatisch Tests für diesen Code auszuführen, ist eine solche Praxis in DevSecOps. Auch die Skalierung über mehrere Cloud-Provider hinweg ist üblich. All dies geschieht nahtlos. Natürlich braucht man für all diese Automatisierungen Leute, die nicht nur die Ziele der Automatisierung verstehen, sondern auch wissen, wie man sie konfiguriert. Wenn du also daran interessiert bist, mehr über die Prozesse von DevSecOps zu erfahren und gleichzeitig einige der damit verbundenen Technologien kennenzulernen, dann ist dieses Buch genau das Richtige für dich.

Wie dieses Buch organisiert ist

Dieses Buch ist in acht Kapitel unterteilt. Bis auf wenige Ausnahmen sind die Kapitel weitgehend eigenständig, was bedeutet, dass du nur die Kapitel oder Abschnitte der Kapitel lesen kannst, die du für wertvoll hältst.

Kapitel 1, "Die Notwendigkeit von DevSecOps", dient als Rahmen für den Rest des Buches. Das Kapitel zeigt, wie Software mit Methoden wie Wasserfall und Agile entwickelt wurde und wie Software mit DevSecOps entwickelt wird. In Kapitel 1 wird auch die Notwendigkeit erörtert, Abteilungssilos aufzubrechen, und die Bedeutung der Kultur für DevSecOps hervorgehoben.

Kapitel 2, "Grundlegendes Wissen in 25 Seiten oder weniger", fasst einige der grundlegendsten Kenntnisse zusammen, die du brauchst, um bei DevSecOps erfolgreich zu sein - oder legt zumindest den Grundstein für den Erwerb dieses Wissens. Wenn es eine Möglichkeit gäbe, wochenlanges EDV-Kursmaterial an einem Ort zusammenzufassen, dann hoffentlich an diesem Ort.

Kapitel 3, "Integration von Sicherheit", setzt einige der Grundlagen aus Kapitel 2 fort, allerdings mit einem Schwerpunkt auf Sicherheit. Darauf aufbauend besprechen wir in Kapitel 3 das OWASP ZAP-Tool.

Kapitel 4, "Code und Tests verwalten", befasst sich mit Git und dem Gitflow-Muster in DevSecOps. Das Kapitel behandelt auch die verschiedenen Ebenen des Testens.

Kapitel 5, "Auf dem Weg zum Deployment", führt in die Verwaltung der Konfiguration als Code zusammen mit Docker ein. Außerdem werden wir eine lokale Registry für Docker erstellen.

Kapitel 6, "Bereitstellen, Betreiben und Überwachen", befasst sich mit Ansible und Jenkins für die Bereitstellung und Codeerstellung. Diese beiden Technologien sind weit verbreitet, auch wenn sie sicher nicht die einzigen sind, die für die Bereitstellung und Erstellung von Code eingesetzt werden. In Kapitel 6 geht es auch um die Überwachung, wobei der Schwerpunkt auf den bewährten Methoden für die Überwachung liegt.

Kapitel 7, "Planen und Erweitern", integriert Kubernetes in die DevSecOps-Abdeckung, indem es den Einsatz von Software in einer Organisation clustert und erweitert.

Kapitel 8, "Beyond DevSecOps", schließt das Buch mit der Darstellung von fünf Mustern und Erkenntnissen aus erfolgreichen DevSecOps-Organisationen ab.

In diesem Buch verwendete Konventionen

In diesem Buch werden die folgenden typografischen Konventionen verwendet:

Kursiv

Weist auf neue Begriffe, URLs, E-Mail-Adressen, Dateinamen und Dateierweiterungen hin.

Constant width

Wird für Programmlistings sowie innerhalb von Absätzen verwendet, um auf Programmelemente wie Variablen- oder Funktionsnamen, Datenbanken, Datentypen, Umgebungsvariablen, Anweisungen und Schlüsselwörter hinzuweisen.

Constant width italic

Zeigt Text an, der durch vom Benutzer eingegebene Werte oder durch kontextabhängige Werte ersetzt werden soll.

Tipp

Dieses Element steht für einen Tipp oder eine Anregung.

Hinweis

Dieses Element steht für einen allgemeinen Hinweis.

Warnung

Dieses Element weist auf eine Warnung oder einen Warnhinweis hin.

O'Reilly Online Learning

Hinweis

Seit mehr als 40 Jahren bietet O'Reilly Media Schulungen, Wissen und Einblicke in Technologie und Wirtschaft, um Unternehmen zum Erfolg zu verhelfen.

Unser einzigartiges Netzwerk von Experten und Innovatoren teilt sein Wissen und seine Erfahrung durch Bücher, Artikel und unsere Online-Lernplattform. Die Online-Lernplattform von O'Reilly bietet dir On-Demand-Zugang zu Live-Trainingskursen, ausführlichen Lernpfaden, interaktiven Programmierumgebungen und einer umfangreichen Text- und Videosammlung von O'Reilly und über 200 anderen Verlagen. Weitere Informationen erhältst du unter https://oreilly.com.

Wie du uns kontaktierst

Bitte richte Kommentare und Fragen zu diesem Buch an den Verlag:

Wir haben eine Webseite für dieses Buch, auf der wir Errata, Beispiele und zusätzliche Informationen auflisten. Du kannst diese Seite unter https://oreil.ly/LearningDevSecOps aufrufen .

Neuigkeiten und Informationen über unsere Bücher und Kurse findest du unter https://oreilly.com.

Du findest uns auf LinkedIn: https://linkedin.com/company/oreilly-media.

Sieh uns auf YouTube: https://youtube.com/oreillymedia.

Danksagungen

Wir danken den technischen Prüfern Patrick Dubois, David Volm, Swapnil Shevate und Vladislav Bilay für ihre Zeit, ihre Mühe und ihr Feedback. Sie haben uns dabei geholfen, Bereiche zu identifizieren, die zusätzlich abgedeckt werden müssen, und ihr Fachwissen in anderen Bereichen des Buches zur Verfügung gestellt. Vielen Dank an Rob, Jim und Jaclyn von Partners und an Tim für die Unterstützung bei der Bearbeitung von Fragen.

Get DevSecOps lernen now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial