Kürzere Entwicklungszeiten, mehr Releases und höherwertigere Anwendungen – so lässt sich der zentrale Nutzen von DevOps beschreiben. Inzwischen setzt schon jedes vierte Unternehmen der 2.000 größten Firmen international auf diese Methoden, aber auch im Mittelstand genießen sie eine rasch steigende Akzeptanz. Trotzdem ist diese Erfolgsgeschichte nicht ganz frei von einem Problem, das sich in folgender Frage darstellt: Sind Sicherheitsaspekte ein integraler Bestandteil der DevOps-Projekte? Etwa 70 Prozent der Unternehmen in Deutschland verneinen dies nach einer internationalen Studie, lediglich 27 Prozent setzen auf Continuous Testing, damit Sicherheitsschwächen frühzeitig erkannt und beseitigt werden können.
Die Ursachen diese Zurückhaltung sind einerseits darin zu suchen, dass DevOps noch eine relativ junge Disziplin ist und deshalb noch längst nicht alle Entwicklungspotenziale ausgeschöpft hat. Dies gilt auch für den Einbezug der Sicherheitsaspekte, weil hier die neuen Methoden die bisher gelebte Gewohnheit beenden, erst am Schluss der Softwareentwicklung an die Security-Anforderungen zu denken.
Ein weiterer und wesentlicher Grund besteht zudem darin, dass die unternehmensinternen DevOps-Kompetenzen erhebliche Defizite aufweisen. So haben Untersuchungen ergeben, dass in vielen Betrieben ausreichend qualifiziertes Personal fehlt, das über ein notwendiges Grundverständnis zu den Security-Anforderungen von Softwareentwicklungen verfügt. Dies bestätigt auch eine Umfrage unter weltweit 400 DevOps-Experten, von denen sich lediglich 4 Prozent fachlich prädestiniert fühlen, in schnellen DevOps-Projekten sichere Software zu entwickeln. Weitere 55 Prozent fühlen sich einigermaßen darauf vorbereitet, alle anderen jedoch gar nicht.
Insofern wird die weitere Entwicklung und Akzeptanz dieser agilen Methode davon abhängen, wie die Unternehmen auch in die entsprechende Fortbildung investieren. Zumal durch die Digitalisierung die Cyber-Risiken und damit die Sicherheitsansprüche an die Software kontinuierlich steigen. Diesem Bedarf folgend verbreitet sich mit DevSecOps auch bereits ein neuer Begriff für diese Anforderungen. Er fokussiert darauf, DevOps etwas umfassender zu betrachten und die Sicherheit in die Entwicklung und den Betriebslebenszyklus von Software zu integrieren.