„Shift-left“: Gefahren und wie man sie vermeidet

App-Entwickler spielen eine entscheidende Rolle für den Erfolg und die Wettbewerbsfähigkeit von Unternehmen. Doch die „Shift-left“-Philosophie, die mittlerweile das Denken über DevOps (oder besser gesagt DevSecOps) dominiert, hat zur Folge, dass die Mitarbeiter überarbeitet und gestresst sind und es satt haben, für jedes Problem oder jede Schwachstelle verantwortlich gemacht zu werden, die bei der Bereitstellung der Apps auftritt, auf die die Unternehmen angewiesen sind. 

Gerade jetzt, wo es immer schwieriger wird, talentierte Entwickler zu finden, ist die Abwanderung von Mitarbeitern und der Produktivitätsverlust, der durch ausgebrannte Entwickler entsteht, sehr kostspielig. Glücklicherweise ist dies ein Problem, das behoben werden kann.

Was ist Shift-Left?

Früher programmierten die Entwickler die Anwendungen, und die QA-Ingenieure überprüften sie auf Funktionalität und Benutzerfreundlichkeit, und die Security-Teams prüften sie auf Schwachstellen. Und erst wenn alles geprüft ist, werden die Apps für den operativen Einsatz bereitgestellt.

Niemand hat mehr diese Art von Zeit. Diese Apps müssen jetzt sofort einsatzbereit sein! Die Lösung war und ist Shift-Left, was sich auf die Verlagerung von QA und Security im (ehemals) linearen Softwareentwicklungszyklus (SDLC) nach links bezieht. QA und Security wurden fortan während der anfänglichen Entwicklung der App oder sogar in der Designphase behandelt. 

Theorie im Vergleich zur Praxis

Im Prinzip eine gute Idee. Im Prinzip bedeutete dies, dass QA-Entwickler, Security-Experten und Softwareentwickler während des gesamten SDLC zusammenarbeiten und in Echtzeit kooperieren, um den Prozess drastisch zu beschleunigen und Anwendungen schneller bereitzustellen.

In der Praxis bedeutet dieser Ansatz jedoch nur allzu oft, dass Entwicklerteams für Dinge verantwortlich gemacht werden, die nicht in ihren Kompetenzbereich fallen. Kulturelle Probleme machen es schwieriger als erwartet, ein solches Maß an Zusammenarbeit zu erreichen, und in vielen Fällen wurden den Entwicklern zusätzlich zu ihrer grundlegenden Aufgabenbeschreibung die Aufgaben der Qualitätssicherung und Security übertragen. 

Natürlich ist es nicht verkehrt, von den Entwicklern zu verlangen, dass sie von Anfang an ernsthaft über Security nachdenken. Wenn sie eine potenzielle Schwachstelle in der Entwurfsphase identifizieren können, kann sie leicht behoben werden. Wenn sie hingegen erst ans Licht kommt, nachdem die App codiert und kompiliert wurde, kann es ein viel zeitaufwändigerer Prozess sein, das Problem zu beheben, insbesondere wenn der anfällige Code auch Abhängigkeiten enthält. 

Wie Shannon McFarland in diesem Cisco-Blogbeitrag erklärt, sind die prognostizierten Vorteile von Shift-Left erheblich: 

1. Verbesserte Zusammenarbeit, da QA-, Security- und Entwicklungsteams zusammenarbeiten, und alle ihr Verständnis des gesamten SDLC-Prozesses verbessern
2. Geringere Kosten dank früherer Erkennung und Behebung von Problemen, d. h., schneller und einfacher
3. Erhöhte Sicherheit, da Entwickler lernen, Security in den Designprozess zu integrieren
4. Verbesserte Softwarequalität, da weniger Qualitätsprobleme den operativen Einsatz überstehen dürften

Doch anstelle dieser Vorteile kommt es allzu oft zu folgenden Ergebnissen:

1. Erhöhte Workloads, da die Entwickler neue Aufgaben übernehmen, für die sie nicht ausgebildet sind, ohne dass sich ihre bisherige Arbeitsbelastung verringert
2. Die Entwickler müssen sich ständig weiterbilden, um neue Tools, Prozesse und Technologien zu beherrschen, da immer mehr Dinge früher in den Entwicklungszyklus aufgenommen werden
3. Burnout, da die Entwickler unter zunehmendem Druck stehen, sichere und qualitativ hochwertige Apps noch schneller als bisher zu entwickeln
4. Gestörte Teamdynamik, da die traditionellen organisatorischen Grenzen verwischt werden. 

Von linear zu kontinuierlich

Wie Melinda Marks in diesem TechTarget-Artikel argumentiert, besteht ein Teil des Problems mit Shift-Left darin, dass es auf einem traditionellen, linearen Verständnis des SDLC basiert. Aber die heutigen Cloud-basierten Entwicklungsprozesse werden von Pipelines für kontinuierliche Integration/Continuous Delivery (CI/CD) dominiert. 

Sehr vereinfacht ausgedrückt bedeutet dies, dass neue Funktionen und Features – neue Zweige einer ständig wachsenden Codebasis – kontinuierlich entwickelt, bereitgestellt und in bestehende Anwendungen integriert werden. Es gibt keinen Moment, in dem die App fertig ist, von den QA- und Security-Teams als „ANGENOMMEN“ abgestempelt wird und in die Welt hinausgeht, um Gutes zu tun. Geschäftskritische Apps befinden sich in einem ständigen Entwicklungsprozess.

Das macht es viel schwieriger, auf eine Stelle in einem linearen Prozess zu zeigen und zu sagen: "Jetzt machen wir die QS hier, statt später." Und es bedeutet, dass Entwickler, QA-Ingenieure und Security-Spezialisten alle zur gleichen Zeit ihr Handwerk ausüben, in einer kontinuierlichen Schleife von Innovation und Verbesserung.

Damit es funktioniert

Führung, klar definierte Verantwortlichkeiten, eine Kultur ohne Schuldzuweisungen und die Zustimmung aller Beteiligten sind der Schlüssel zu einer erfolgreichen Shift-Left-Strategie, die die Vorteile ohne die Nachteile der Erschöpfung der Entwickler und aller damit verbundenen Kosten bietet.

Dies erfordert ein hohes Maß an Organisationstalent, z. B. die Fähigkeit, einen Prozess zu entwerfen, der die Verantwortlichkeiten der einzelnen Teams genau abgrenzt, anstatt nur zu sagen, dass die Entwickler mehr QA-Tests und Security-Audits durchführen müssen. Und es erfordert eine Menge weicher Führungsqualitäten, wie z. B. alle Beteiligten zu ermutigen, an tadellosen Nachbesprechungen teilzunehmen, allen beizubringen, konstruktive Kritik sowohl anzunehmen als auch zu geben, und die Integration und Zusammenarbeit von Teams zu managen, die traditionell isoliert gearbeitet haben.