DevSecOps-Strategie erfolgreich umsetzen Der „Shift-Left“-Ansatz in der Softwareentwicklung

Ein Gastbeitrag von Harry Zorn *

Anbieter zum Thema

Entwickler legten bis vor kurzem bei der Entwicklung von Anwendungen keinen besonderen Wert auf Sicherheit und Compliance. Doch im Zuge von DevSecOps-Strategien soll sich das ändern.

Cyber-Kriminelle haben längst erkannt, dass Angriffe auf die Software-Lieferkette weitreichenderen Erfolg versprechen als einzelne Angriffe.
Cyber-Kriminelle haben längst erkannt, dass Angriffe auf die Software-Lieferkette weitreichenderen Erfolg versprechen als einzelne Angriffe.
(Bild: rgaymon / Pixabay)

Die Überprüfung auf Schwachstellen, Fehlkonfigurationen und Richtlinienverstöße lag bis vor Kurzem nicht im Verantwortungsbereich der Entwickler. Nachdem eine voll funktionsfähige Anwendung erstellt wurde, war ihre Aufgabe abgeschlossen; eine Überprüfung durch das Sicherheitsteam würde vielleicht irgendwann – oder vielleicht auch nie – stattfinden.

Diese Zeiten sind vorbei, aufgrund von drei wesentlichen Veränderungen:

  • Erstens ist das gemäßigte Tempo der traditionellen „Wasserfall"-Softwareentwicklungsmethode – linear, monolithisch, langsam – durch die Dringlichkeit von DevOps ersetzt worden. Nun wird Software modular, kontinuierlich und schnell veröffentlicht.
  • Zweitens sind alle Unternehmen zu Softwareunternehmen geworden, da die Abläufe und Daten von Organisationen durchgängig digitalisiert werden – und somit anfällig für Softwarefehler und Cyberangriffe.
  • Außerdem werden die Hacks immer häufiger, raffinierter und ihre Auswirkungen verheerender. Dies hat CEOs und Vorstandsmitglieder dazu veranlasst, die Bedeutung von Cybersicherheit zu betonen.

Das Konzept „Shift-Left“ meint die Prämisse, Sicherheitsprobleme so früh wie möglich im Entwicklungsprozess zu erkennen, zu analysieren und zu beheben. Der Ansatz, der hierbei zu Grunde liegt, hat sich als ein Eckpfeiler von sicherem DevOps oder auch DevSecOps etabliert.

Der Preis unsicherer Software

Das Consortium for Information & Software Quality (CISQ) berichtet, dass im Jahr 2020 die Kosten für US-Unternehmen, die durch „schlechte Softwarequalität" entstehen, mehr als zwei Billionen US-Dollar betrugen. Sie werden in erster Linie durch nicht behobene Schwachstellen verursacht. Zudem stellt die Abhängigkeit der eigenen Software von der Software anderer eine kritische Beziehung dar.

Der fehlerhafte und nachlässige Einsatz von Softwarekomponenten beeinträchtigt die Qualität der Software des Unternehmens deutlich. In seinem Bericht hat CISQ festgestellt, dass die Behebung von Softwareproblemen nach der Veröffentlichung einer Anwendung zehnmal teurer ist als die Behebung während der Entwicklung.

Die Software-Lieferkette im Fadenkreuz

Cyber-Kriminelle haben längst erkannt, dass die Kompromittierung der Software-Bausteine ihnen eine hocheffiziente Möglichkeit bietet, Malware über legitime und vertrauenswürdige Kanäle zu verbreiten; dementsprehend verstärken sie ihre Bemühungen, Komponenten in dieser Lieferkette zu infizieren.

Bedrohungsakteure schleusten bei dem verheerenden SolarWinds-Hack im Dezember 2020 erfolgreich Malware in den Softwareerstellungsprozess der Orion-Plattform von SolarWinds ein. Über Monate hinweg lieferte SolarWinds versehentlich Produktupdates mit der Sicherheitslücke aus, die es Hackern ermöglichte, die Orion-Server der Kunden zu kompromittieren.

Die EU-Agentur für Cybersicherheit prognostizierte, dass sich die Angriffe auf die Software-Lieferkette im Jahr 2021 vervierfachen würden. Das prominenteste Beispiel ist die Log4Shell Zero-Day-Schwachstelle, die im Dezember 2021 in der beliebten Open-Source-Bibliothek Log4J entdeckt wurde. Auch im Jahr 2022 hat das Security Research Team von JFrog mehrere Schwachstellen in der Software-Lieferkette entdeckt, darunter Probleme mit Apache Cassandra und npm-Paketen (Node Package Manager).

Laut Forrester Research meldeten im Jahr 2020 fast 28 Prozent der Unternehmen 20 oder mehr Unterbrechungen der Lieferkette. Zudem wurde prognostiziert, dass in 2021 60 Prozent der Cybersicherheitsvorfälle auf Probleme mit Drittanbietern zurückzuführen sein werden.

Fazit

Von Entwicklern wird heute erwartet, dass sie direkt in ihrer bevorzugten IDE (integrierten Entwicklungsumgebung) nach Sicherheits- und Konformitätsproblemen suchen – und mit den richtigen Tools stellt das auch kein Problem dar. Das zuverlässige Auffinden, sowie die Analyse und die Behebung von Sicherheitslücken lässt sich so sehr weit „links" im Entwicklungsprozess gewährleisten. Dadurch können die Unternehmen die erheblichen Kosten vermeiden, die eine spätere Reaktion auf diese Schwachstellen mit sich bringen würde.

Entwickler beziehen die meiste Software, die sie verwenden, aus öffentlichen Open-Source- und kommerziellen Repositories und vertrauen blind darauf, dass diese keine Sicherheits- und Konformitätsprobleme enthalten. Die meisten dieser Komponenten von Drittanbietern weisen jedoch Schwachstellen und andere Sicherheitsprobleme auf – und über 30 Prozent von ihnen werden von der National Vulnerability Database CVSS als hoch kritisch oder kritisch eingestuft.

Harry Zorn
Harry Zorn
(Bild: JFrog)

Mit anderen Worten: Die Sicherheitsrisiken beginnen in dem Moment, in dem die Entwickler anfangen, Bibliotheken aus dem Internet herunterzuladen, um sie als Bausteine in der Software zu verwenden, die sie erstellen. Das ist das erste Glied in der äußerst dynamischen Software-Lieferkette – und oft das verwundbarste.

* Harry Zorn ist VP Strategic Sales EMEA bei JFrog.

(ID:48488871)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung