Was ist DSOMM?

DSOMM steht für DevSecOps Maturity Model und ist ein Reifegradmodell, das Organisationen hilft, Sicherheitsmaßnahmen in modernen DevOps-Prozessen strukturiert zu integrieren und zu priorisieren. Es wurde von der OWASP-Community entwickelt und wird als Open-Source-Projekt gepflegt.

Hintergrund & Motivation

Von Startups bis hin zu multinationalen Konzernen ist die Softwareentwicklung heute weitgehend durch agile Frameworks, Produktteams und DevOps-Strategien geprägt. Dabei zeigt sich immer wieder: Sicherheitsaspekte werden bei der Einführung von DevOps häufig vernachlässigt – oder zumindest nicht ausreichend berücksichtigt.

Ein klassisches Beispiel: In der Produktionsumgebung gelten klare Sicherheitsanforderungen. Diese werden aber nicht konsequent auf Build-Pipelines im Continuous Integration (CI)-Umfeld übertragen – insbesondere nicht bei Containerisierung mit Docker. So bleiben z. B. Docker-Registries ungesichert, was im schlimmsten Fall zum Diebstahl des gesamten Quellcodes eines Unternehmens führen kann.

Was macht das DSOMM?

Das DevSecOps Maturity Model zeigt auf, welche Sicherheitsmaßnahmen in DevOps-Umgebungen möglich und sinnvoll sind, und bietet eine Priorisierungshilfe, um diese schrittweise umzusetzen. Es kombiniert Security by Design mit automatisierten DevOps-Praktiken und gibt Teams klare Orientierung, wie Sicherheit nachhaltig in agile Prozesse eingebettet werden kann.

Konkrete Maßnahmen – ein Beispiel

Mit Hilfe von DevOps-Strategien lässt sich auch die Sicherheit verbessern:

Jede Komponente eines Docker-Images – von Applikations- bis Betriebssystembibliotheken * kann automatisiert auf bekannte Schwachstellen (CVEs) geprüft werden.

• CI/CD-Pipelines können so gestaltet werden, dass Sicherheitsprüfungen integraler Bestandteil jedes Deployments sind.
• Sicherheit wird damit nicht mehr als Hindernis, sondern als kontinuierlicher Begleiter im Entwicklungsprozess verstanden.

Reifegrade & Struktur

DSOMM ist in verschiedene Sicherheitsbereiche (Dimensions) unterteilt, z. B.:

• Secure Coding Practices
• CI/CD Pipeline Security
• Infrastructure as Code Security
• Dependency Management
• Secrets Management
• Monitoring & Incident Response

Für jede dieser Kategorien gibt es mehrere Reifegrade, etwa:

• Level 0: Keine Maßnahme vorhanden
• Level 1: Erste manuelle Kontrollen
• Level 2: Teilweise automatisierte Prozesse
• Level 3: Vollständig integrierte und automatisierte Sicherheitsmechanismen

Warum ist das wichtig?

Angreifer sind heute intelligent, kreativ und technologisch gut ausgestattet. Sicherheitsmaßnahmen dürfen daher nicht erst am Ende greifen – sie müssen proaktiv und frühzeitig eingebaut werden.
DSOMM bietet konkrete Prinzipien und Maßnahmen, mit denen sich Organisationen gegen moderne Bedrohungen wappnen können – angepasst an ihre individuelle Reife und Kapazität.

Fazit

Das DevSecOps Maturity Model (DSOMM) ist ein praxisnahes Werkzeug, um Sicherheit strategisch und systematisch in DevOps-Prozesse einzubetten. Es hilft, typische Sicherheitslücken wie unsichere Docker-Registries oder fehlendes Vulnerability-Scanning zu identifizieren – und durch abgestufte Maßnahmen gezielt zu beheben.