Externe Entwickler sicher einbinden Lose koppeln, statt blind vertrauen

Der direkte Zugriff auf die zentrale Datenbank von mehreren externen Standorten erfordert hohe Sicherheitsstandards.
Der direkte Zugriff auf die zentrale Datenbank von mehreren externen Standorten erfordert hohe Sicherheitsstandards.

Agilität und Dynamik sind in der Softwareentwicklung gefordert und spiegeln sich auch in der Zusammenarbeit mit Partnern wider. Müssen sie hierfür Zugang zum zentralen Repository erhalten und so zum gesamten geistige Eigentum?

Die Art und Weise, wie Unternehmen ihre Entwicklungsarbeiten organisieren, verändert sich zusehends. Während Geschwindigkeit und Innovation zu entscheidenden Wettbewerbsfaktoren werden, sehen sich immer mehr Unternehmen einem Unterangebot ausreichend spezialisierter Entwickler gegenüber. Gerade in Fachbereichen wie der Elektronik oder der Automobilindustrie ist es daher nahezu unerlässlich geworden, für bestimmte Aufgaben auf externe Ressourcen zurückzugreifen. Dabei muss eine solche Zusammenarbeit auch standortunabhängig besonders eng erfolgen: Denn externe Entwicklungsbeiträge sollen zunehmend in kürzeren Abständen eingereicht werden – einerseits um Releasezyklen zu verkürzen, andererseits um eine hohe Qualität sicherzustellen, etwa indem Fehler schneller gefunden und behoben werden.

Um die optimalen Voraussetzungen hierfür zu schaffen, mag die einfachste Lösung auf den ersten Blick darin bestehen, den externen Mitarbeitern Zugang zum lokalen Versionsmanagementsystem zu gewähren. Denn im Grunde macht ein effizientes gemeinsames Arbeiten an Entwicklungsdateien ein zentrales Repository geradezu erforderlich: Es ermöglicht Entwicklungsteams, nicht nur die Artefakte selbst, sondern auch deren zugehörige vollständige Verlaufshistorie jederzeit im Zugriff zu haben, an die lokale Build-Pipeline weiterzureichen und deren Ergebnisse unmittelbar sichtbar zu machen. Treten Fehler auf, lässt sich durch die Kombination von Daten und Metadaten unverzüglich nachvollziehen, wer was wann und wie geändert oder beigetragen hat, an welcher Stelle sich der Fehler eingeschlichen hat und wie sich dieser in den verschiedenen Verzweigungen des Entwicklungspfads auswirken kann.

Auch wenn dies zweifelsfrei einen wichtigen Wettbewerbsvorteil für Unternehmen darstellt, ist ein solches Vorgehen unter Sicherheitsaspekten kritisch zu sehen. Mit einem vollständigen Zugriff auf das zentrale Unternehmens-Repository erhielten Externe Zugang zum gesamten geistigen Eigentum des Unternehmens, inklusive geschäftskritischer Informationen wie Entwicklungsplänen oder wettbewerbsentscheidendem Know-how. Entsprechend sind Administratoren nur selten gewillt, Dritten Zugang zum Firmennetzwerk zu gestatten. Wird dieser trotz alledem gewährt – etwa über VPN –, muss sich das Unternehmen selbstverständlich absolut sicher sein, dass seine Sicherheitsstandards gut genug sind, um Unbefugten Zugriffe auf sensible Daten effektiv und zuverlässig verwehren zu können.

Doch auch rein technisch ist eine produktive Zusammenarbeit am zentralen Repository keinesfalls gewährleistet. Während sich beispielsweise bloßer Programmcode in Form von Textdateien noch relativ einfach über WLAN quer über den Globus versenden lässt, setzt die Übertragung digitaler Medien, größerer Programmbibliotheken oder Artefakte eine leistungsstarke Breitbandverbindung voraus. Ist diese nicht vorhanden, wird die tägliche Arbeit am zentralen Repository zum Geduldsspiel – eine fatale Situation für externe Mitarbeiter, die nicht selten unter hohem Zeitdruck stehen.