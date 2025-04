Viele Unternehmen setzen auf bessere Developer Experience im AppSec-Bereich, Konsens über optimale DevSecOps-Workflows und -KPIs besteht jedoch nicht

FRANKFURT, 1. April 2025 – Checkmarx, der Marktführer im Bereich Cloud-native Application Security, stellt seine Studie DevSecOps Evolution: from DevEx to DevSecOps vor, die die aktuellen Praktiken von Entwicklungsteams in großen Unternehmen auf dem Weg zu ausgereiftem DevSecOps untersucht. Die Studie kommt zu dem Ergebnis, dass Development- und Security-Teams Fortschritte auf ihrer DevSecOps-Reise machen, aber noch an der Abstimmung von Workflows und KPIs arbeiten müssen.

„Die sprunghafte Zunahme von DevOps-Teams und -Pipelines in großen Unternehmen unterstreicht, wie wichtig es ist, dass DevOps- und Security-Teams eine gemeinsame Kultur für eine erfolgreiche Zusammenarbeit etablieren“, erklärt Martin Lindsay, Vice President of Regional Marketing bei Checkmarx. „Mit dem Ziel vor Augen, leistungsstarken Code – der per Definition sicherer Code ist – zu liefern, erkennen diese beiden Teams, dass die Verbesserung der Developer Experience im AppSec-Bereich nur der erste Schritt ist und dass Security einen Weg finden muss, mit dem Tempo agiler Softwareentwicklung Schritt zu halten.“

Die im Zuge der DevSecOps Evolution Studie gewonnen Erkenntnisse belegen, dass Entwickler in großen Unternehmen zunehmend Vertrauen in das im Rahmen von Security-Trainings erworbene Know-how haben und dass sie einen beträchtlichen Teil ihrer Zeit mit Security-Tasks verbringen:

– 21 Prozent der befragten Entwickler geben an, dass Security beim Coding höchste Priorität hat

– 99,6 Prozent der Entwickler haben Zugang zu Security-Training; 90 Prozent davon bewerten die Effektivität des Trainings als mittel oder hoch

– 41,53 Prozent der befragten Entwickler geben an, dass sie die ihnen zugewiesenen Tickets verstehen und in 41 bis 60Prozent der Fälle wissen, wie sich die Schwachstelle zur Laufzeit manifestiert

– 72 Prozent der Entwickler verbringen mehr als 17 Stunden pro Woche mit Security-Tasks, jeder Vierte sogar mehr als 25 Stunden

Das Checkmarx DevSecOps-Reifegradmodell trackt den Fortschritt von Unternehmen auf dem Weg von traditionellem DevOps zu DevSecOps in vier Phasen:

– Phase 0 – Reaktive Security: AppSec ist an die Entwicklung „angeflanscht“, wird zum Bottleneck und verzögert das Deployment

– Phase 1 – Security-orientiert: AppSec findet Schwachstellen und leitet sie an Entwickler weiter, die mit Alerts bombardiert werden, ohne Handlungsempfehlungen zu deren Behebung

– Phase 2 – DevEx-orientiert: Tools sind in die IDE integriert, sodass Entwickler Schwachstellen flankiert von Handlungsempfehlungen beheben können, ohne ihren Workflow zu unterbrechen

– Stufe 3 – Ausgereiftes DevSecOps: Die DevSecOps-Kultur ist gut etabliert; Security- und Development-Teams sind sich in puncto Policies, Governance und Zusammenarbeit einig; Training wird bei Bedarf und innerhalb der IDE angeboten; Ziele und KPIs sind definiert und abgestimmt

Die Checkmarx-Studie kommt zu dem Ergebnis, dass die meisten großen Unternehmen auf ausgereiftes DevSecOps hinarbeiten und sich dazu committen:

– 30 Prozent konzentrieren sich über die reine Developer Experience hinaus darauf, ausgefeiltere Prozesse zu etablieren

– 28,3 Prozent der Unternehmen tracken die Mean Time to Remediate als KPI

– 45 Prozent tracken die Code-Sicherheit

– 46,27 Prozent tracken ihre Termintreue

Die allgemeine Marktreife befindet sich noch in einem frühen Stadium und die Checkmarx Studie zeigt, dass etablierte Best Practices zur Umsetzung und Messung von effektivem DevSecOps noch nicht flächendeckend Anwendung finden. Obwohl Unternehmen bereits Fortschritte gemacht haben, gibt es noch Verbesserungspotenzial.

Methodik

Für die Studie wurden 1.500 Heads of Development, Platform Engineers und Entwickler/Softwareingenieuren in großen Unternehmen mit einem Jahresumsatz von mehr als 750.000.000 US-Dollar in Nordamerika (USA), Europa (Großbritannien, Frankreich, Deutschland, Österreich, Schweiz) und APAC (Australien, Neuseeland, Singapur) befragt. Die Befragung wurde von Censuswide im Dezember 2024 durchgeführt. Censuswide orientiert sich an der Market Research Society, die auf den Prinzipien des ESOMAR-Kodex basiert, und beschäftigt deren Mitglieder.

Interessierte Leserinnen und Leser können den DevSecOps Evolution Report hier herunterladen.

Über Checkmarx

Checkmarx unterstützt die weltweit größten Unternehmen dabei, Anwendungsrisiken zu minimieren, ohne die Entwicklung zu verlangsamen. Mehr Anwendungen, schnellere Pipelines und wachsende Bedrohungen tragen zu einem sprunghaften Anstieg des Risikos bei. Checkmarx macht dem Rätselraten bei der Identifizierung und Behebung der kritischsten Schwachstellen ein Ende. Von DevOps-Pipelines bis hin zur Developer Experience erhalten AppSec-Teams, was sie brauchen, und gleichzeitig können die Entwickler so arbeiten, wie sie es möchten. So verbessert Checkmarx die Zusammenarbeit zwischen Security- und Development-Teams – und das von einer einheitlichen AppSec-Plattform aus. Unternehmen vertrauen auf Checkmarx, wenn es darum geht, mehr als eine Billion Codezeilen pro Jahr zu scannen, den ROI zu verdoppeln und die Entwicklerproduktivität bei Security-Tasks um 50 Prozent zu steigern. Checkmarx. Always Ready to Run.

