:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/d7/ddd7f2c4859b85a8b1688f38e3092085/0111289633.jpeg "Code-Fragmente machen das Programmieren deutlich effizienter. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/80/89/8089a443255acb4adc657bb0e64a0d69/0111553974.jpeg "Erster Blick auf Parasoft Jtest 2023.1. (Bild: Parasoft)")
:quality(80)/p7i.vogel.de/wcms/ff/f8/fff8d58054f9546032349bcfd610f977/0110367136.jpeg "Agile Softwareentwicklung lebt unter anderem vom ständigen Austausch aller Beteiligten. (Bild: <a href=https://unsplash.com/de/@jasongoodman_youxventures>Jason Goodman</a>)")
:quality(80)/p7i.vogel.de/wcms/9e/fa/9efa0cc7438c341e53e44ab403510441/0111640567.jpeg "Der Open-Source-Scanner Trivy lässt sich unter anderem per CLI aufrufen und unterstützt nun auch die Kubernetes-Benchmarks des CIS. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/ce/99/ce994c9dce9fac6c16e96a2871e6c3be/0110414706.jpeg "Nur im Zuge einer umfangreichen Security-Strategie lässt sich ein heterogenes Endpoint-Universum vor Bedrohungen zu schützen. (Bild: <a href=https://pixabay.com/users/coolvid-shows-18646168/>CoolVid-Shows</a>)")
:quality(80)/p7i.vogel.de/wcms/dd/8b/dd8bdf45a5452802972c54a0c54d85d6/0111382050.jpeg "Für DevOps-Teams stellt der Übergang zu modernen, Cloud-basierten Anwendungsumgebungen eine große Herausforderung dar. (Bild: <a href=https://pixabay.com/users/williamscreativity-17210051/>WilliamsCreativity</a>)")
:quality(80)/p7i.vogel.de/wcms/85/49/854932edf414b2f888be89bd3ddf447c/0111835486.jpeg "Cloud Native Rockstars on stage (oben, v.l.): Thomas Hartinger, Phil Korte, Alina Schneider, Nadège Jakob, Tobias Renk, Sebastian Kister, Volker Zöpfel und Linda Früh, daneben die Juroren Dr. Jens Eckhard und Dr. Nils Kaufmann mit Vorjahres-Preisträgerin Emma Wehrwein. In der unteren Reihe (v.l.) Erik Schubert, Moderatorin Lydia Hundsdörfer und Stephan Augsten von den Vogel IT-Medien, Stefan Jacobs, Juror und Keynote-Speaker Maximilian Hille sowie Preisträger Tim Urlaub. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/19/7b19253be9adc79579f0725469c0776a/0111556272.jpeg "Eine Cloud-Migration harmoniert gut mit den DevOps-Prinzipien, die dadurch ein Revival erleben könnten- (Bild: <a href=https://pixabay.com/users/bearinthenorth-2960032/>Anastasia Borisova</a>)")
:quality(80)/p7i.vogel.de/wcms/b8/bf/b8bfcf221961042a9d80a661969868af/0111108621.jpeg "Der Abbau von technischen Schulden bindet Ressourcen, die für aktuelle Projekte dringend benötigt werden. (Bild: © – profit_image – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/61/3e61a6ad22070f1d8239744aa90462ad/0111352868.jpeg "Der sogenannte „Renovate Bot“ aktualisiert nicht selbst, sondern stellt Merge-Requests an das Development Team. (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/a1/2b/a12b814d8d4e1d5ae4d9817d12f5a2d5/0110227353.jpeg "BPMN ist ein intuitives Tool, das sich zu einem Standardverfahren für die Visualisierung von Geschäftsprozess-Workflows entwickelt hat. (© NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/d3/13d37d2a255166d3b801341d81ff0cff/0111621162.jpeg "Automobilarchitekturen wandeln sich zu zonalen, zentralen Rechenzentren und schließlich zu Software Defined Vehicles. (Bild: © – vegefox.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/53/3253e183359754bee5c1b52b1fc0aff6/0111206462.jpeg "Die Datenbankevolution treibt KI, ML und Deep Learning, was die Art und Weise des menschlichen Wissenserwerbs widerspiegeln soll, weiter an. (Bild: Dimitrios - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/dd/55ddac3b4e6f52d4b2584f77a72db2ee/0111768534.jpeg "MariaDB hat die Observability-Funktionen von SkySQL weiter ausgebaut. (Bild: Mohamed Hassan)")
:quality(80)/p7i.vogel.de/wcms/ec/92/ec9271497f9a497ec5c149833911b065/0111435523.jpeg "In den Fachabteilungen wissen die Angestellten genau, welche Tools sie benötigen – warum unkomplizierte Anwendungen nicht selbst bauen lassen? (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/19/1d/191d69675e71d858a172728556fcbafb/0111041367.jpeg "OVHcloud hat mit AI Deploy einen neuen Service für KI-Anwendungen veröffentlicht. (Bild: OVHcloud)")
:quality(80)/p7i.vogel.de/wcms/50/1e/501e67c0fb83d75fc4e0959b137e349b/0111403157.jpeg "Large Language Models verstehen natürliche Sprache, können übersetzen, auf Basis ihrer Daten neuen Text generieren und vieles mehr. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/19/31/1931878346987d5f61c5ed1b967599ae/0104711006.jpeg "Datenstrukturen werden in der Regel auf die Verarbeitung durch Algorithmen hin optimiert. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/67/e96797cf34887ed47068092a4289a884/0111209876.jpeg "Effizienten Code zu schreiben, ist eine große Herausforderung, der sich etliche Unternehmen gerade stellen. (Bild: <a href=https://pixabay.com/de/users/insspirito-1851261/>Garik Barseghyan</a>)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
Sicherheit in jeder DevOps-Phase Best Practices für die DevSecOps-Strategie
Im traditionellen DevOps-System fehlt ein entscheidendes Puzzleteil: eine übergreifende Sicherheitsprüfung. DevSecOps fokussiert daher bereits früh im Entwicklungsprozess das Thema Sicherheit. Wie funktioniert DevSecOps und was ist dabei zu beachten?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/7e/627e1ceac041f/fis-logo.png "fis-logo (FIS)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
DevOps verkürzt die Dauer der Anwendungsentwicklung durch die Kombination von IT-Betrieb und Softwareentwicklung. Daher werden Sicherheitstests in diesen Prozessen jedoch eher auf dem Zeitstrahl nach hinten verschoben, weil befürchtet wird, dass sie den Entstehungsprozess drastisch verlangsamen.
Frühzeitige Sicherheitschecks im Entwicklungsprozess sind allerdings entscheidend für eine hochwirksame Sicherheit. Obwohl dieser Umstand vielen Unternehmen bewusst ist, halten sie sich nicht daran. Dagegen wäre es gerade für dynamische Umgebungen angezeigt, die neuesten Sicherheitstools zu implementieren, um die Sicherheit von Anwendungen zu gewährleisten, ohne den Lebenszyklus der App-Entwicklung zu verlangsamen.
Hier kommt DevSecOps ins Spiel. Der Prozessverbesserungsansatz zielt darauf ab, neue Lösungen für den Entwicklungsprozess von Software in einem agilen Rahmen zu schaffen. Das heißt, es werden scheinbar widersprüchliche Zielsetzungen garantiert: die der Sicherheit und einer schnellen Bereitstellung. Dies geschieht in Iterationen, ohne die Zyklen zu verlangsamen. Auf diese Weise lassen sich Sicherheitsprobleme gleich beim Auftreten erkennen und nicht erst, nachdem eine Bedrohung im Einsatz auftaucht.
Das bedeutet, immer wenn DevSecOps im Spiel ist, sind Unternehmen mit diesen Tools in der Lage, die Geschwindigkeit ihrer Produkt-Releases beizubehalten, das Sicherheitsrisiko jedoch deutlich zu senken sowie spätere Nacharbeiten und andere Korrekturen extrem zu reduzieren. Dies erfolgt durch die Verwendung von automatisierbaren und frühzeitig integrierbaren Sicherheitstools, insbesondere während der Code-Commit- und Pre-Implementation-Phase.
Vorteile von DevSecOps
Der wahrscheinlich schwierigste Aspekt bei der Integration von DevSecOps besteht darin, eine veränderte Denkweise zu schaffen und so eine neue Philosophie der Anwendungsentwicklung im gesamten Unternehmen zu etablieren. Im Kern geht es bei DevSecOps darum, die Verantwortung für die Sicherheit vollständig von den Schultern der Sicherheitsspezialisten zu nehmen und sie über verschiedene Teams hinweg zu teilen, insbesondere mit dem Entwicklungsteam. Die Implementierung von SecOps kann dem Unternehmen eine Reihe von Vorteilen bzw. Synergien bringen. Dazu gehören:
Bessere Übersicht
Der Anwender weiß immer, was in jeder Phase des Entwicklungsprozesses vor sich geht. Der Informations- und Wissensaustausch wird zwischen den Entwicklungsteams, Betriebsteams und Sicherheitsteams optimiert. Silo-Denken und -Praktiken innerhalb der Teams lösen sich auf.
Höhere Agilität
DevSecOps ergänzt den agilen Ansatz von Methoden wie beispielsweise Scrum und fördert zudem die Zusammenarbeit zwischen den Teams.
Rückverfolgbarkeit
Wenn Sicherheit in jeder Phase des Entwicklungsprozesses implementiert wurde, kann der Anwender alle Vorgänge nachverfolgen und zeigen, dass alles, was entsteht, nicht nur den geforderten Sicherheitspraktiken entspricht, sondern auch von allen Teilnehmern überprüft werden kann.
Compliance
Ein wichtiges Kriterium vor allem für Banken, Fintech, Gesundheitswesen und öffentlicher Sektor. Wenn die zu entwickelnde Anwendung bestimmte Standards erfüllen muss, liefert DevSecOps die Gewissheit, dass das Produkt auch vom ersten Tag die anvisierten Anforderungen erfüllt.
Ansätze möglicher DevSecOps-Technologien
Lösungen für DevSecOps befinden sich gegenwärtig noch in einer Wachstumsphase. Einer der Ansätze besteht darin, bestehende Security-Tools einfach anzupassen und entsprechend zu modifizieren und auf die neuen DevOps-Technologien wie Container, Cloud-Technologie und Serverless anzuwenden. Dabei werden bestehende Security-Lösungen an neue Stacks angepasst.
• DevSecOps als Weiterentwicklung
Ein Beispiel für die Anpassung bestehender Sicherheitslösungen an die neue DevOps-Technologie ist der Anbieter Trend Micro, der neue Updates veröffentlicht hat, die zwar mehr Sicherheit für DevOps versprechen, aber weiterhin auf ihrem bestehenden Produkt basieren. Es handelt sich dabei um Sicherheitslösungen für Clouds und Container. Dafür wurden Funktionen wie die automatische Erkennung und den Schutz von Cloud-Workloads bei Cloud-Anbietern hinzugefügt. Ein weiteres Feature ist das integrierte Image-Scanning in DevOps-Pipelines mit kontinuierlichem Bedrohungs- und Schwachstellen-Scanning. Das Ergebnis: Skalierbarkeit und Agilität mit Bereitstellungsskripts und APIs für wichtige Umgebungen.
Zudem werden Funktionen geboten, welche die Verwendung von Containern unterstützen. Container ermöglichen den reibungslosen Betrieb von Anwendungen in jeder Umgebung, im Data Center oder in der Cloud. Ferner helfen sie dabei, Anwendungen schneller und zuverlässiger bereitzustellen. Kompromisse zwischen Geschwindigkeit und Umgebungsflexibilität führen jedoch zu einem Mehr an Komplexität bei der Infrastruktur. Dies kann mit schwerwiegenden Sicherheitsfolgen verbunden sein, wenn sie nicht frühzeitig behoben werden. Die DevSecOps-Lösungen von Trend Micro helfen bei der Sicherung von Containern durch kontinuierliches Monitoring, das frühzeitig in den Entwicklungsprozess integriert wird.
• DevSecOps als Neuentwicklung
Neue Lösungen bietet dagegen das Unternehmen CloudCheckr, die über integrierte Sicherheitskonfigurationen und eine Aktivitätsüberwachung für Multi-Cloud-Umgebungen verfügen. Sie enthalten außerdem eine große Anzahl von automatisierten Konfigurations- und Sicherheitsprüfungen, welche die Cloud-Sicherheit stärken. Des Weiteren umfasst das Angebot Best-Practice-Checks, die es Unternehmen ermöglichen, Compliance-Vorgaben in verschiedenen Branchen zu erfüllen, indem automatisch und regelmäßig nach gemeinsamen Schwachstellen gesucht wird.
Ferner analysieren Tools die Protokolle und geben Warnungen aus, wenn Anwender in einer Cloud-Infrastruktur die Governance-Richtlinien nicht einhalten oder sonstige Bedrohungen auftreten. Automatisierungen dieser Art sind auch ein Schlüsselmerkmal für die Sicherung von Cloud-Infrastrukturen, da eine manuelle Verwaltung angesichts des enormen Umfangs des Cloud-Computing sich nicht als praktikabel erweist.
(ID:47833817)
:quality(80)/images.vogel.de/vogelonline/bdb/1911800/1911895/original.jpg "Große Sprünge sind bei der Container-Terchnik nicht zu erwarten, aber das technologische Umfeld ist in ständiger Bewegung. (kaiquestr)")
:quality(80)/images.vogel.de/vogelonline/bdb/1927200/1927232/original.jpg "Wer Fachangestellte in die Digitalisierungsstrategie mit einbeziehen möchte, sollte sich über das Wie genau Gedanken machen. (sigmund)")