:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/d8/42/d842e974aba302d38084f99665d5d62b/0115384258.jpeg "API-Sicherheit ist heute Chefsache. CISOs müssen mit den Entwicklerteams den Grundstein für eine sichere IT-Infrastruktur legen und dafür eine Security Policy aufsetzen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Software im Unternehmen wie Steckbausteine zusammensetzen Composable Architecture – das Beste aus zwei Welten
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Composable Architecture setzt auf Standardanwendungen, die sich über offene Schnittstellen flexibel erweitern lassen, um neue Use Cases dynamisch zu integrieren. Dank Standards erhalten Unternehmen ein starkes Fundament, bei gleichzeitig maximaler Flexibilität durch offene Schnittstellen.
Composable Architecture bringt viele Vorteile. Wir wollen in diesem Beitrag häufig gestellte Fragen in Bezug auf diese Art der Software-Entwicklung beantworten. Einfach ausgedrückt soll Composable Architecture dabei helfen, dass Unternehmen einerseits auf die umfassende Stabilität einer Standard-Software als Basis setzen. Auf der anderen Seite soll diese Software über Schnittstellen so offen wie möglich sein, um eigene Use Cases zu integrieren und die Lösung mit Komponenten zu erweitern.
Composable Architecture findet sich als Design-Konzept in immer mehr Umgebungen. Auch Infrastrukturen mit Microservices und API-gestützte Umgebungen gehen nach diesem Prinzip vor. Anstatt eines riesigen, monolithischen Blocks, gibt es verschiedene Bauteile einer Lösung, die wie Klemmbausteine miteinander interagieren.
Developer erhalten dabei mehr Eigenverantwortung für die Komponenten, die sie entwickeln. Im Idealfall führt das zu mehr Sicherheit, Stabilität und Leistungsfähigkeit. Dabei ist das Konzept an sich nicht neu. Auch Object Oriented Programming macht sich die Idee von kleineren, austauschbaren Komponenten zunutze, die über sogenannte Interfaces angesprochen werden.
Aber selbst, wenn bei der Entwicklung von Quellcode bewährte Verfahren angewendet werden, steht am Ende infrastrukturseitig eine monolithische Produktarchitektur. Heutzutage spricht einiges für Composable Architecture, auch aus Gründen der Skalierungsfähigkeit für einzelne Bestandteile eines Services statt des kompletten Backend. Es gibt allerdings einiges zu beachten.
Wie sicher sind Composable-Architecture-Umgebungen?
Da bei Composable Architecture der Technologie-Stack oder die Geschäftsanwendungen auf Komponenten aufbaut, ist zunächst wichtig, dass jede einzelne Komponente so sicher wie nur möglich ist. Jedes Bauteil sollte nach Best Practices im Rahmen der maximalen Möglichkeiten designt sein. Das erhöht gleichzeitig die Sicherheit der kompletten Lösung und ist ein wichtiger Faktor, um die einzelnen Komponenten zu schützen.
Hinzu kommt die Möglichkeit, Aufgaben zwischen den Komponenten zu delegieren. Auch hier sollte gewährleistet sein, dass Kommunikation und Ablauf der Prozesse so intelligent gelöst sind, dass die Sicherheit auf einem maximalen Stand ist. Die zwischen den Komponenten ablaufenden Prozesse sollten ebenfalls optimal definiert sein, damit zwischen den Teilen der Software nicht versehentlich Interaktionen ablaufen, die nicht beabsichtigt sind.
Bei der Implementation kommt es darauf an, dass die Software nicht nur aus einem Basis-Teil besteht, sondern aus mehreren Bereichen. Innerhalb der Sicherheits-Strategie des Unternehmens müssen sie sowohl getrennt als auch im Zusammenspiel Berücksichtigung finden.
Entstehen durch das Verbinden von Komponenten Sicherheitslücken?
Der Vorteil bei der Composable Architecture ist, dass die unterschiedlichen Komponenten sehr viel leichter überschaubar und abzusichern sind. Entwickler kennen die einzelnen Bestandteile sehr gut und können so bei der Absicherung optimal mitwirken. Das verringert die Wahrscheinlichkeit von Lücken deutlich, weil keine riesigen Code-Sammlungen entstehen, die einzelne Entwickler kaum mehr durchschauen.
Im Fokus der Composable Architecture steht der API-first-Ansatz. Das heißt, dass sich einzelne Komponenten leicht ersetzen lassen, wenn sie die verwendete API richtig nutzen. Tauchen Sicherheitslücken in einer Komponente auf, kann diese einzelne Komponente leicht ersetzt oder abgesichert werden.
Entwickler sollten die APIs in solchen Architekturen unbedingt so planen, dass Sicherheit und optimale Authentifizierung berücksichtigt werden. Das gilt auch für eine richtig gesteuerte Berechtigungsstruktur. Gelingt es einem Angreifer eine Komponente zu kompromittieren, müssen die anderen Komponenten dennoch geschützt bleiben. Mit der richtigen Planung liegt darin eine der großen Stärken der Composable Architecture.
Was macht Composable Architecture besser als Monolithen?
Composable Architecture fördert die Eigenverantwortung der Entwickler. Es handelt sich dabei nicht nur um das Vermischen von Code oder die Integration kostengünstiger Open-Source-Bestandteile. Die einzelnen Komponenten in der Composable Architecture liegen in der Verantwortung des jeweiligen Entwicklers. Dieser muss dafür sorgen, dass „seine“ Komponenten stabil, leistungsstark und sicher sind. Das bedeutet aber nicht, dass Sicherheit hier ein Selbstläufer ist.
Generell macht Composable Architecture Schluss mit dem Ansatz „Das ist nicht mein Problem, darum müssen sich andere kümmern“. Die Komponente ist in der Verantwortung des jeweiligen Entwicklers und die Sicherheit der Komponente ist eine seiner Aufgaben
Übernehmen Entwickler in einer Composable Architecture mehrere Komponenten, fällt es bei kleineren Bausteinen deutlich leichter, den Überblick behalten. Anders als bei sehr großen Code-Blöcken. Dadurch steigt aber nicht automatisch der Sicherheitslevel. Auch hier sollten Entwickler Best Practices bei der Sicherheitsplanung beachten.
Das kann ein großer Vorteil sein, denn die Funktionen innerhalb einer Komponente lassen sich relativ einfach verstehen. Gleichzeitig steigt die Zahl von Schnittstellen zwischen den Komponenten. Das wiederum erhöht das Risiko von Schwachstellen, die in diesen Komponenten auftreten. Ein besonderes Augenmerk sollte deshalb unbedingt auf der Sicherheit dieser Schnittstellen liegen.
Vereinfacht Composable Architecture die Anwendungen und Technologie-Stacks?
Meistens nutzen Firmen Composable Architecture, weil den vorhandenen Anwendungen Funktionen fehlen, die für bestimmte Use Cases notwendig sind. Beim Ansatz der Composable Architecture lassen sich diese neuen Funktionen einfacher integrieren, ohne die existierenden Systeme komplett ersetzen zu müssen.
Wenn in etablierten Systemen Sicherheitsmängel auftreten, kann es sinnvoll sein, einzelne Komponenten nacheinander herauszulösen und über eine Composable Architecture gegen neue, bessere und sichere „Module“ zu ersetzen.
Das Gleiche gilt für die Wartung. Sind die Kosten bei großen Lösungen zu hoch, lässt sich der Aufwand durch die Implementierung neuer und getrennter Komponenten reduzieren. Allerdings dürfen Verantwortliche nicht außer Acht zu lassen, dass sich durch weitere Schnittstellen und Komponenten die Angriffsfläche der Umgebung verbreitert.
Bedeutet Composabale Architecture das Ende monolithischer Anwendungen?
In vielen Fällen kann man monolithische Anwendungen nicht ersetzen. Das ist zu komplex, teuer und ineffizient. Es gibt aber durchaus Möglichkeiten, wie man monolithische Anwendungen erweitern und damit modernisieren kann. Hier funktioniert Composable Architecture eher als Partner denn als Gegenspieler von monolithischen Anwendungen. Schlussendlich lassen sich damit Geschäftsanwendungen erweitern, ohne den Produktionsablauf zu stören.
Welche Komponenten sind in einer Composable Architecture gefährdet?
Generell sollte jede Komponente besonders geschützt werden. Gelingt es einem Angreifer dann, eine dieser Komponenten zu kompromittieren, lassen sich die übrigen mit der richtigen Planung trotzdem absichern. Wichtig sind in diesem Fall auch die Interaktionen zwischen den Bestandteilen der Composable Architecture. Sie müssen in einem umfassenden Authentifizierungs- und Berechtigungsmodell so sicher wie möglich ablaufen.
Die Kommunikation sollte man zusätzlich auf die Komponenten beschränken, die wegen der Funktionsfähigkeit der Umgebung miteinander kommunizieren „müssen“. Sollte dennoch eine Komponente kompromittiert werden, sollte die übrige Umgebung weiterhin so sicher wie nur möglich sein. Die Verantwortlichen sollten die Umgebung regelmäßig testen, um zu überprüfen, wie widerstandsfähig sie ist.
Wie wird die Sicherheit von Composable Architecture in Zukunft aussehen?
Die Eigenverantwortung der jeweiligen Entwickler wird weiter steigen. Sie zeichnen verantwortlich dafür, dass die Sicherheit jeder einzelnen Komponente so hoch wie möglich ist. Sicherheitsexperten kümmern sich ihrerseits um die komplette Umgebung. Sie behalten den Überblick über sämtliche Komponenten und deren Interaktionen.
Von den Erfahrungen der Sicherheitsfachleute profitieren wiederum die Entwickler. Genau darin liegt die große Stärke der Composable Architecture: Das eigenverantwortliche Arbeiten der Entwickler führt zu höherer Sicherheit bei den Komponenten und dadurch zu sicheren Infrastrukturen. Komponenten arbeiten effektiv miteinander. Sie sind aber so weit voneinander abgeschottet, dass ein kompromittierter Bereich nicht unweigerlich zur Kompromittierung der ganzen Umgebung führt.
* Boris Cipot ist Senior Sales Engineer bei der Synopsys Software Integrity Group.
(ID:49410386)
:quality(80)/p7i.vogel.de/wcms/0c/df/0cdf7146d1caec2ad5fbb5da34eba796/0112018918.jpeg "Mit Microservices erhalten Anwender die vollständige Kontrolle darüber, wie Geschäftsprobleme am besten gelöst werden können. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/34/3e/343eed90cc33f25f0caaff34119254de/0108331604.jpeg "Contentful hat in Berlin auf seiner „Fast Forward“-Veranstaltung neue Komponenten seiner Plattform präsentiert. (Bild: Contentful)")