Sicherheit ist kein Zusatzfeature, das man am Ende der Entwicklung „noch dazubaut”. DevSecOps bedeutet, Sicherheit von Anfang an in den Software-Lebenszyklus zu integrieren – „Shift Left”, wie es im Fachjargon heißt. Wir bauen Pipelines, in denen Sicherheits-Scans, Compliance-Checks und Härtungsmaßnahmen genauso automatisch laufen wie Unit-Tests.
Was DevSecOps in der Praxis bedeutet
Klassisch lief Sicherheit so ab: Pen-Test kurz vor dem Go-Live, Liste mit gefundenen Schwachstellen, Panik, manche werden gefixt, der Rest „nehmen wir mit”. DevSecOps dreht das um: Jeder Commit, jedes Build, jedes Deployment wird automatisch auf Schwachstellen geprüft. Probleme werden gefunden, wenn sie billig zu fixen sind – nicht in Produktion, wenn sie teuer werden.
Was wir an Sicherheits-Integration umsetzen
Source-Code-Analyse (SAST)
Statische Code-Analyse erkennt Sicherheitsmuster im Quellcode: SQL-Injection-Risiken, XSS-Schwachstellen, Hardcoded Credentials, unsichere Krypto-Verwendung. Wir nutzen Semgrep, SonarQube, PHPStan mit Sicherheits-Regelsets.
Dependency-Scanning
Über 80 Prozent moderner Anwendungen bestehen aus Drittabhängigkeiten – und jede einzelne kann Schwachstellen mitbringen. Wir scannen alle Dependencies kontinuierlich mit Snyk, Dependabot, OWASP Dependency-Check oder Trivy (auch für Container-Images).
Container-Sicherheit
Container-Images werden auf bekannte CVEs gescannt, mit minimalen Basis-Images (Distroless, Alpine) gebaut, Non-Root-User erzwungen, Read-Only-Filesystems eingerichtet. Trivy, Grype und Anchore als Werkzeuge.
Dynamic Application Security Testing (DAST)
Während SAST den Quellcode prüft, testet DAST die laufende Anwendung von außen – wie ein Angreifer. OWASP ZAP als Open-Source-Werkzeug, kommerzielle Alternativen wie Burp Suite oder Acunetix.
Secret-Scanning
Klingt simpel, ist aber häufige Schwachstelle: API-Keys, Passwörter, Datenbankzugänge im Code. Wir setzen git-secrets, TruffleHog oder Gitleaks ein – sowohl in Pre-Commit-Hooks als auch in CI-Pipelines.
Runtime-Security
Schutz auch zur Laufzeit: Falco erkennt verdächtiges Verhalten in Kubernetes-Pods. OPA/Gatekeeper setzt Policy-as-Code durch – ohne Policy-Verletzung läuft kein Deployment.
Compliance als Code
Compliance-Anforderungen (DSGVO, ISO 27001, BSI-Grundschutz, PCI DSS) lassen sich automatisiert prüfen. Wir definieren Compliance-Checks als Code und integrieren sie in CI/CD. Damit ist Compliance nicht mehr ein einmaliger Audit-Schock, sondern kontinuierliche Realität.
DSGVO-Compliance
Sicherer Umgang mit personenbezogenen Daten als technischer Default: Verschlüsselung at-rest und in-transit, Datenminimierung, Privacy-by-Design, Recht-auf-Löschung als API-Endpoint. Beispiel: Moodle-Plattformen werden über die Privacy API DSGVO-fit. Mehr unter DSGVO-konformes Moodle-Hosting.
ISO 27001 und BSI-Grundschutz
Häufig im öffentlichen Sektor gefordert. Wir setzen die technischen Maßnahmen um: Zugriffskontrollen, Audit-Logs, Backup-Strategien, Incident-Response-Pläne.
Security-Awareness im Team
Werkzeuge allein lösen kein Sicherheitsproblem – die Menschen müssen sie bedienen können. Wir bilden Ihre Teams in den Werkzeugen aus, etablieren Security-Champions-Programme und unterstützen bei Incident-Response-Übungen.
Verwandte Leistungen
Security-Scans laufen in CI/CD-Pipelines. Container-Sicherheit ist Teil von Kubernetes & Docker. Cloud-Sicherheit gehört zu Cloud-Infrastruktur. Sicherheits-Monitoring zu Observability. Übersicht: DevOps-Engineering.
Mini-Case aus unserer Praxis
DevSecOps-Integration in bestehende CI/CD-Pipeline
Integration von Security-Checks in eine bestehende GitLab-CI-Pipeline. Ausgangslage: Pipeline mit Build und Tests, aber ohne automatisierte Security-Prüfung. Sicherheitslücken wurden meist erst beim jährlichen Pentest gefunden – teure Spätfunde. Maßnahmen: SAST mit Semgrep für Source-Code-Analyse, Dependency-Scanning mit Snyk für Composer- und NPM-Pakete, Container-Scanning mit Trivy, Secret-Scanning mit Gitleaks. Alle Scans als Pipeline-Stages mit klaren Fail-Conditions. Pre-Commit-Hooks zusätzlich für lokale Secret-Erkennung. Resultat: Sicherheitslücken werden früh – meist innerhalb von Minuten nach Commit – gefunden. Mean Time to Fix dadurch dramatisch reduziert.
Häufige Fragen zu DevSecOps
Wo fängt man bei DevSecOps an?
Mit den Quick-Wins: (1) Dependency-Scanning für bekannte CVEs in Drittpaketen – das ist die häufigste Schwachstellen-Quelle. (2) Secret-Scanning für versehentlich committete Credentials. (3) Container-Scanning, falls Container im Einsatz sind. Diese drei Punkte sind in 1-2 Wochen umgesetzt und decken über 70 Prozent typischer Risiken ab.
Bremst Security die Entwicklung?
Schlecht gemacht: ja. Gut gemacht: nein. Wir konfigurieren Scans so, dass sie schnell laufen (parallel zu Tests), aussagekräftige Reports liefern und nur bei tatsächlich kritischen Findings die Pipeline brechen. Warnings landen in Issue-Trackern, blockieren aber nicht.
Was ist mit Compliance-Anforderungen wie ISO 27001 oder BSI-Grundschutz?
Compliance lässt sich teilweise als Code abbilden. Audit-Logs, Access-Controls, Verschlüsselung, Backup-Strategien – alles automatisierbar und dokumentierbar. Wir helfen bei der technischen Umsetzung von Compliance-Anforderungen und erstellen auf Wunsch entsprechende Nachweis-Dokumentation.
Wie sieht Runtime-Security in Kubernetes aus?
Wir setzen Falco für anomalie-basierte Detection ein – Falco erkennt verdächtige Aktivitäten wie unerwartete Network-Connections, ungewöhnliche Datei-Zugriffe oder Shell-Spawns in Containern. Kombiniert mit OPA/Gatekeeper für Policy-as-Code wird Compliance auch zur Laufzeit erzwungen.
