Checkmarx-Studie: Mehr AppSec-Kompetenz bei Entwicklern - Zeitaufwand bleibt Herausforderung
01.04.2025
IT, NewMedia & Software
FRANKFURT, 1. April 2025 - Checkmarx , der Marktführer im Bereich Cloud-native Application Security, stellt seine Studie DevSecOps Evolution: from DevEx to DevSecOps vor, die die aktuellen Praktiken von Entwicklungsteams in großen Unternehmen auf dem Weg zu ausgereiftem DevSecOps untersucht. Die Studie kommt zu dem Ergebnis, dass Development- und Security-Teams Fortschritte auf ihrer DevSecOps-Reise machen, aber noch an der Abstimmung von Workflows und KPIs arbeiten müssen.
"Die sprunghafte Zunahme von DevOps-Teams und -Pipelines in großen Unternehmen unterstreicht, wie wichtig es ist, dass DevOps- und Security-Teams eine gemeinsame Kultur für eine erfolgreiche Zusammenarbeit etablieren", erklärt Martin Lindsay, Vice President of Regional Marketing bei Checkmarx. "Mit dem Ziel vor Augen, leistungsstarken Code - der per Definition sicherer Code ist - zu liefern, erkennen diese beiden Teams, dass die Verbesserung der Developer Experience im AppSec-Bereich nur der erste Schritt ist und dass Security einen Weg finden muss, mit dem Tempo agiler Softwareentwicklung Schritt zu halten."
Die im Zuge der DevSecOps Evolution Studie gewonnen Erkenntnisse belegen, dass Entwickler in großen Unternehmen zunehmend Vertrauen in das im Rahmen von Security-Trainings erworbene Know-how haben und dass sie einen beträchtlichen Teil ihrer Zeit mit Security-Tasks verbringen:
- 21 Prozent der befragten Entwickler geben an, dass Security beim Coding höchste Priorität hat
- 99,6 Prozent der Entwickler haben Zugang zu Security-Training; 90 Prozent davon bewerten die Effektivität des Trainings als mittel oder hoch
- 41,53 Prozent der befragten Entwickler geben an, dass sie die ihnen zugewiesenen Tickets verstehen und in 41 bis 60Prozent der Fälle wissen, wie sich die Schwachstelle zur Laufzeit manifestiert
- 72 Prozent der Entwickler verbringen mehr als 17 Stunden pro Woche mit Security-Tasks, jeder Vierte sogar mehr als 25 Stunden
Das Checkmarx DevSecOps-Reifegradmodell trackt den Fortschritt von Unternehmen auf dem Weg von traditionellem DevOps zu DevSecOps in vier Phasen:
- Phase 0 - Reaktive Security: AppSec ist an die Entwicklung "angeflanscht", wird zum Bottleneck und verzögert das Deployment
- Phase 1 - Security-orientiert: AppSec findet Schwachstellen und leitet sie an Entwickler weiter, die mit Alerts bombardiert werden, ohne Handlungsempfehlungen zu deren Behebung
- Phase 2 - DevEx-orientiert: Tools sind in die IDE integriert, sodass Entwickler Schwachstellen flankiert von Handlungsempfehlungen beheben können, ohne ihren Workflow zu unterbrechen
- Stufe 3 - Ausgereiftes DevSecOps: Die DevSecOps-Kultur ist gut etabliert; Security- und Development-Teams sind sich in puncto Policies, Governance und Zusammenarbeit einig; Training wird bei Bedarf und innerhalb der IDE angeboten; Ziele und KPIs sind definiert und abgestimmt
Die Checkmarx-Studie kommt zu dem Ergebnis, dass die meisten großen Unternehmen auf ausgereiftes DevSecOps hinarbeiten und sich dazu committen:
- 30 Prozent konzentrieren sich über die reine Developer Experience hinaus darauf, ausgefeiltere Prozesse zu etablieren
- 28,3 Prozent der Unternehmen tracken die Mean Time to Remediate als KPI
- 45 Prozent tracken die Code-Sicherheit
- 46,27 Prozent tracken ihre Termintreue
Die allgemeine Marktreife befindet sich noch in einem frühen Stadium und die Checkmarx Studie zeigt, dass etablierte Best Practices zur Umsetzung und Messung von effektivem DevSecOps noch nicht flächendeckend Anwendung finden. Obwohl Unternehmen bereits Fortschritte gemacht haben, gibt es noch Verbesserungspotenzial.
Methodik
Für die Studie wurden 1.500 Heads of Development, Platform Engineers und Entwickler/Softwareingenieuren in großen Unternehmen mit einem Jahresumsatz von mehr als 750.000.000 US-Dollar in Nordamerika (USA), Europa (Großbritannien, Frankreich, Deutschland, Österreich, Schweiz) und APAC (Australien, Neuseeland, Singapur) befragt. Die Befragung wurde von Censuswide im Dezember 2024 durchgeführt. Censuswide orientiert sich an der Market Research Society, die auf den Prinzipien des ESOMAR-Kodex basiert, und beschäftigt deren Mitglieder.
Interessierte Leserinnen und Leser können den DevSecOps Evolution Report hier herunterladen.
Firmenkontakt:
Checkmarx Germany GmbH
Theodor-Stern-Kai 1
60596 Frankfurt am Main
Deutschland
-
https://www.checkmarx.com/
Pressekontakt:
H zwo B Kommunikations GmbH
Nürnberger Str. 17-19
91052 Erlangen
+49 9131 81281-25
http://www.h-zwo-b.de/
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Weitere Artikel von Checkmarx Germany GmbH
13.03.2025 | Checkmarx Germany GmbH
Checkmarx steht auf der Constellation ShortList™ for Application Security Testing (AST)
Checkmarx steht auf der Constellation ShortList™ for Application Security Testing (AST)
11.02.2025 | Checkmarx Germany GmbH
Checkmarx launcht kollaborativen Checkmarx Zero Research Hub mit Threat-Informationen aus der Application und Software Supply Chain Security
Checkmarx launcht kollaborativen Checkmarx Zero Research Hub mit Threat-Informationen aus der Application und Software Supply Chain Security
30.01.2025 | Checkmarx Germany GmbH
DevOps Dozen Awards 2024: Checkmarx One als "Best DevSecOps Solution" ausgezeichnet
DevOps Dozen Awards 2024: Checkmarx One als "Best DevSecOps Solution" ausgezeichnet
17.12.2024 | Checkmarx Germany GmbH
Frost & Sullivan zeichnet Checkmarx als "Competitive Strategy Leader in the Global Application Security Posture Management (ASPM) Industry" aus
Frost & Sullivan zeichnet Checkmarx als "Competitive Strategy Leader in the Global Application Security Posture Management (ASPM) Industry" aus
26.11.2024 | Checkmarx Germany GmbH
Checkmarx erweitert Software Supply Chain Security um Secrets Detection und Repository Health
Checkmarx erweitert Software Supply Chain Security um Secrets Detection und Repository Health
Weitere Artikel in dieser Kategorie
02.04.2025 | BlackLine
Gold-Standard für den R2R-Prozess
Gold-Standard für den R2R-Prozess
02.04.2025 | Hyland
Hyland erweitert seine Content Innovation Cloud: leistungsstarke KI-Verbesserungen zur Nutzung des vollen Potenzials von unstrukturierten Daten
Hyland erweitert seine Content Innovation Cloud: leistungsstarke KI-Verbesserungen zur Nutzung des vollen Potenzials von unstrukturierten Daten
02.04.2025 | simpleshow GmbH
simpleshow integriert KI-Avatare in Video-Plattform
simpleshow integriert KI-Avatare in Video-Plattform
02.04.2025 | Bugcrowd
Neues Angebot von Bugcrowd bewältigt Pentest-Rückstau bei Managed Service Providern
Neues Angebot von Bugcrowd bewältigt Pentest-Rückstau bei Managed Service Providern
02.04.2025 | simpleshow GmbH
simpleshow integriert KI-Avatare in Video-Plattform
simpleshow integriert KI-Avatare in Video-Plattform
