:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/63/d2/63d2f4e43c55e2140ec3bd9b96d19d5c/0114247757.jpeg "Zumindest in der jetzigen Form wird künstliche Intelligenz keine Jobs vernichten, sondern vielmehr ergänzen. (Bild: <a href=https://pixabay.com/de/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/4a/2c/4a2c83570cf413a53acc88791127985b/0113689146.jpeg "UX- und UI-Design müssen sich auf immer neue Trends einstellen, es gibt allerdings auch einige festgeschriebene Grundregeln. (Bild: <a href=https://unsplash.com/@karlsolano>Karl Solano</a>)")
:quality(80)/p7i.vogel.de/wcms/58/19/5819c761ed85847bcd078190acf7ad4f/0114215872.jpeg "Die Beta von GitHub Copilot Chat ist fortan für alle User von Visual Studio und VS Code verfügbar. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/c5/cf/c5cfc19667755322546e8e914f17890d/0114256966.jpeg "Mehr am Bahnhof denn in der Berufsschule: Der angehende Fachinformatiker für Systemintegration Jonas Lohrmann beklagt lange Wege zur Berufsschule. (Bild: Lohrmann)")
:quality(80)/p7i.vogel.de/wcms/5e/08/5e0825016fa505d43decf6f23fcd5047/0114270026.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/ca/02caa38db6be1bcce330d6bb35d8742e/0114195179.jpeg "Langeweile lassen Developer nicht lange auf sich sitzen, der Arbeitgeber ist schnell gewechselt. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/6d/7b/6d7bd893f3034b22e9515d03f4a2bcf8/0114243416.jpeg "Lens AppIQ richtet sich laut Mirantis insbesondere an IT-Fachkräfte, die täglich mit Kubernetes arbeiten müssen. (Bild: Mirantis)")
:quality(80)/p7i.vogel.de/wcms/dd/64/dd64a3e1d07ca90d00b83de559c2512d/0113887944.jpeg "„Edge-Computing ist kein bestimmter Ort oder Gerätetyp, sondern eher ein Kontinuum von Standorten, die vom zentralisierten Cloud-Computing entfernt sind“, so Autor Sebastian Scheele. Trotzdem eignen sich Cloud-Native-Technologien, insbesondere Kubernetes, um an der Edge Computing zu betreiben. (Bild: frei lizenziert: distelAPPArath)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/45/93/45930907cccf8cb2ca621cb6555cf717/0114183021.jpeg "SQL-Datenbanken lassen sich unproblematisch hin zu PostgreSQL migrieren, Unternehmen sollten diesen Schritt trotzdem gut vorbereiten. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Code Signing bei der Softwareentwicklung 6 Dont's bei Nutzung digitaler Zertfikate
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Jeder Webdienst und jede Webseite sollte HTTPS verwenden. Die sichere Beschaffung und Bereitstellung der für die Absicherung von Webdiensten erforderlichen Zertifikate ist jedoch eine Herausforderung, insbesondere für Entwickler.
Für Entwickler gibt es schlichtweg keine einfache Möglichkeit, digitale Zertifikate so anzufordern, dass sie den Unternehmensrichtlinien entsprechen. Entwickler müssen wissen, wo sich die interne Zertifizierungsstelle (CA) befindet, dann muss ihnen der Zugriff darauf gewährt werden und sie müssen die entsprechenden Berechtigungsnachweise zur Authentifizierung besitzen.
Sobald sie diese Hürden überwunden haben, müssen sie wissen, wie sie ein Zertifikat mit den richtigen Eigenschaften anfordern können, einschließlich der Frage, wer es verwendet, wofür es verwendet wird und wie lange es gültig sein soll. All diese Verzögerungen werden Entwickler dazu verleiten, die Sicherheit zu umgehen, um ihre SLAs zu erfüllen.
Im Folgenden werden sechs gefährliche Möglichkeiten beschrieben, was Entwickler in der Praxis tun, um an digitale Zertifikate zu kommen:
1. Keine Verwendung von TLS/SSL zur Absicherung von Verbindungen
Wenn ein Großteil des DevOps-Prozesses automatisiert ist, werden manuelle Zertifikatsprozesse den Arbeitsablauf stören – etwas, was Entwickler lieber vermeiden würden. Tatsächlich finden es viele Entwickler einfacher, Zertifikate zu ignorieren als zuzulassen, dass die Sicherheit die Veröffentlichung verzögert. Die Bereitstellung von Webdiensten ohne HTTPS-Sicherung macht Endbenutzer verwundbar.
2. Eigene Zertifizierungsstellen einrichten
Selbst wenn Unternehmen Zertifikate verwenden und bereitstellen würden, suchen Entwickler oft nach Abkürzungen, um die normalerweise mühsamen Sicherheitsprozesse zu vereinfachen. Sie brauchen nicht weiter zu suchen als bis zu ihren DevOps-Plattformen, die ein Skript oder Anweisungen zur Verfügung stellen, die es Entwicklern erlauben, ihre eigene interne CA einzurichten. Auf diese Weise können Entwickler so viele Zertifikate ausstellen, wie sie benötigen, und zwar so schnell, wie sie diese benötigen.
Die Herausforderung besteht darin, dass diese Test-Zertifikate nicht immer durch unternehmenskonforme Zertifikate ersetzt werden, wenn die Anwendung in Produktion geht. Wenn das passiert, wird das betroffenen Unternehmen die Suche und den Austausch dieser Zertifikate bei deren Auslaufen deutlich erschweren und Angreifern das Eindringen erleichtern.
3. Einführung selbstsignierter Zertifikate
Unternehmen und besonders Security-Abteilungen sollten auch darauf achten, wie internen Entwickler selbstsignierte Zertifikate verwenden. Anstatt CA-Zertifikate zu kaufen, können Entwickler eine Open-Source-Implementierung von SSL und TLS namens OpenSSL herunterladen. Sie können dann die Zertifikate erstellen, die sie benötigen, um Software zu entwickeln und zu testen.
Wenn diese selbstsignierten Zertifikate in Produktionsversionen von Anwendungen verwendet werden, gefährden sie das Unternehmen. Wenn sie nicht ordnungsgemäß überwacht werden, können selbstsignierte Zertifikate es Cyberkriminellen ermöglichen, Man-in-the-Middle-Angriffe durchzuführen, die sich als Bank-, E-Commerce- und Social Media-Webseite ausgeben.
4. Erstellen von Zertifikaten mit schwachen Signatur-Algorithmen
Die Ablehnung oder schlechte Implementierung von Schlüsseln und Zertifikaten setzt Unternehmen nicht nur unnötigen Sicherheitslücken aus, sondern kann auch zu Chaos führen, indem inkonsistente, manuelle Schritte in eine zunehmend automatisierte Umgebung eingefügt werden.
Wenn die Kontrolle über die Sicherheit der Zertifikate nicht aufrechterhalten wird, können Angreifern leichter ein kompromittiertes, gestohlenes oder gefälschtes Zertifikat verwenden, um die Infrastruktur zu imitieren, abzuhören und zu überwachen und sogar die Kommunikationen entschlüsseln.
5. Umgehung oder völlige Ignorierung von Sicherheitsrichtlinien
Schließlich sind Entwickler in der Regel keine Sicherheitsexperten, und das wollen die meisten auch gar nicht sein. Es ist weniger wahrscheinlich, dass sie alles andere als die grundlegendsten Sicherheitsmaßnahmen in Betracht ziehen, um ihre Ziele zu erreichen, insbesondere angesichts früherer Kämpfe mit der fehleranfälligen manuellen Natur der Zertifikatsbereitstellung.
Das Ergebnis ist, dass Sicherheitsrichtlinien entweder vollständig ignoriert oder minimiert werden, um die Geschwindigkeit der DevOps aufrechtzuerhalten. Dieses Versehen kann blinde Flecken schaffen, die es Cyberkriminellen ermöglichen, sich in verschlüsselten Tunneln zu verstecken.
Die Geschwindigkeit der DevOps muss nicht auf Kosten der Sicherheit gehen. Es gibt Möglichkeiten, den Prozess der Beschaffung von Schlüsseln und Zertifikaten als Teil einer End-to-End-DevOps-Umgebung zu zentralisieren, zu standardisieren und zu automatisieren. Durch die Automatisierung des Zertifikatserwerbs können DevOps-Teams Anwendungen und IT-Dienste effektiver und sicherer bereitstellen.
6. Umgehung traditioneller Code-Signing-Richtlinien
Traditionelle Code-Signierungsprozesse, die von InfoSec-Teams eingerichtet wurden, passen möglicherweise nicht gut zu den CI/CD-Entwicklungspipelines von DevOps. Sie können manuellen Aufwand erfordern, Tage (oder länger!) in Anspruch nehmen, nicht automatisierbar sein, etc. Bedeutet dies, dass DevOps Teams das Code Signing ihrer Apps einstellen?
Eher nicht. Stattdessen finden sie vielleicht Wege, um laufende Prozesse zu umgehen. Dies könnte bedeuten, dass sie ihre eigenen Code Signing-Zertifikate erhalten (die möglicherweise nicht den InfoSec-Richtlinien-Standards entsprechen) oder dass sie private Code Signing-Schlüssel ohne angemessenen Schutz auf einem Build-Server speichern.
Jede dieser Praktiken birgt ein erhebliches Risiko für das gesamte Unternehmen. Der Ruf eines Unternehmens hängt von der Tatsache ab, dass deren Kunden darauf vertrauen können, dass die Anwendungen sicher sind und dass keine Malware von Dritten in sie eingefügt wurde. Mit schlechten Code Signing-Richtlinien oder unsicherer Speicherung von privaten Code Signing-Schlüsseln können Cyberkriminelle dies leicht umgehen.
Fazit
Die Geschwindigkeit von DevOps muss nicht auf Kosten der Sicherheit gehen. Es gibt Möglichkeiten, den Prozess der Beschaffung von Schlüsseln und Zertifikaten als Teil der End-to-End-DevOps-Umgebung zu zentralisieren, zu standardisieren und zu automatisieren.
Durch die Automatisierung des Zertifikatserwerbs können die DevOps-Teams Anwendungen und IT-Dienste effektiver und sicherer bereitstellen. Dazu müssen DevOps-Praktiker jedoch verstehen, dass sie eine wichtige Mitverantwortung für die Sicherheit tragen; es ist nicht nur die Aufgabe eines anderen.
* Eddie Glenn ist Senior Threat Intelligence Manager bei Venafi.
(ID:46675248)
:quality(80)/p7i.vogel.de/wcms/7f/6a/7f6adb5d8b2e740eff78da088be5be42/0107550398.jpeg "Die über Mutual TLS realisierten Maschinenidentitäten sind zwar praktisch für Unternehmen, doch es gibt auch einige Bedenken hinsichtlich der Sicherheit. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/1f/0b/1f0be16ddeb449c8fb370bd075c81fd4/0104496741.jpeg "In verteilten und automatisierten Umgebungen ist es wichtig, die maschinellen Identitäten im Auge zu behalten. (© AndSus – stock.adobe.com)")