Fragen? Antworten! Siehe auch: Alternativlos
Die ganze Idee ist schon lächerlich! Man stelle sich mal vor, jemand wollte euch einen Tresor verkaufen. Und der ist nicht auf Grund von Planung durch fähige Experten und Umsetzung nach Plan entstanden, sondern durch ein paar "umgeschulte" ("die tatsächlich Schulung kommt später, gerade ist Deadline-Druck") Niedriglöhner aus dem Web-Pfuscher-Multimedia-Klitschen-Umfeld zusammengefrickelt. Und die sagen dann: Ja klar, einen Plan hatten wir nicht, aber wir haben immer schön nachgebessert!!1! Würdet ihr so einem Tresor eure Wertsachen anvertrauen? NATÜRLICH NICHT!
Ich vertrete ja inzwischen die These, dass man nicht mehr von der Sicherheit von Code reden sollte, sondern die Metrik sollte sein, ob die Sicherheit nicht nur da sondern offensichtlich messbar ist (d.h. nicht "niemand hat Bugs gemeldet" sondern du guckst auf den Code und siehst, dass er offensichtlich sicher ist). Das ist die eine Hälfte. Die andere Hälfte ist, dass du ein Design hast, das die Auswirkungen von Bugs minimiert.
Devsecops ist Marketing-Bullshit von Leuten, die dir einreden wollen, dass ihr dysfunktionales Multi-Stakeholder-Team irgendwie trotzdem in der Lage ist, guten Code abzuliefern, obwohl keiner von denen das Spektrum der dem Team zugeschriebenen Fähigkeiten abdecken kann, und obwohl es für das Produkt kein vorher durchdachtes Design gibt, und obwohl etwaige Design-Rudimente kurzfristig weggeworfen und umentschieden werden, wenn jemand findet, dass das nötig ist.
Das ist kein Weg zu guten Produkten. Das ist genau der Weg, mit dem man bei der Boeing 737 Max rauskommt.
Anders formuliert: Sicherheit ist nichts, das man nachrüstet. Auch nicht in einem Prozess, der das Nachrüsten möglichst einfach macht. Sicherheit ist etwas, über das man vorher nachdenkt.