:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453e9510c0b5ec232436c67b757ec4c/0109343935.jpeg "Die Nonce sorgt für Ordnung innerhalb einer Blockkette, lässt sich aber auch aktiv für sicherheitsrelevante Aktivitäten nutzen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/b4/12/b4126a87dc658d03d79de40f241b3738/0110245419.jpeg "Beim „Green Coding“ geht es darum, Software möglichst energieeffizient und damit nachhaltig zu programmieren. (Bild: © – ArtemisDiana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/6e/456e267b716932fdb332be968e593118/0110255660.jpeg "Das britische Königshaus schützt seine Kronjuwelen – die Schätze der englischen Monarchie, die aus mehr als 100 Objekten mit einem geschätzten Wert in Milliardenhöhe bestehen – mit weltweit erstklassigen Sicherheitssystemen, darunter zwei Tonnen schwere Stahltüren und bombensicheres Glas. (Symbolbild:tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/84/bd84a42749a528eaa94f513429d8f9f0/0110156993.jpeg "Links auf der Überholspur: Shift-Left-Testing macht effiziente DevSecOps-Workflows erst überhaupt möglich. Hier durchdringt kontinuierliches Testen die kontinuierliche Entwicklung (Dev), Sicherheit (Sec) und Bereitstellung (Ops). (Bild: <a href=https://www.pexels.com/de-de/@taras-makarenko-188506/>Taras Makarenko</a>)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/2e/d9/2ed91d40782848e566b17756be9d0be0/0109334017.jpeg "Autoscaling steht im Gegensatz zum klassischen Hosting, für welches ein festgelegtes Leistungskontingent gebucht wird. (Bild: <a href=https://unsplash.com/de/@growtika>Growtika</a>)")
Möglichkeiten der K8s-Autoskalierung im Überblick :quality(80)/p7i.vogel.de/wcms/dc/e1/dce1c2250d49f0b6068cfd98483a94ae/0109808486.jpeg "Auf dem Radar: Frost&Sullivan untersucht Cloud Native Application Protection Platforms (CNAPP). (Bild: frei lizenziert: OpenClipart-Vectors)")
:quality(80)/p7i.vogel.de/wcms/4b/5f/4b5f3bc0250747a0be176f75251b855b/0109875780.jpeg "Um die Komplexität dynamischer Cloud-Bereitstellung zu durchblicken, sollten Verantwortliche geeignete Hilfsmittel strategisch einsetzen. Das schlägt sich dann auch schnell in barer Münze nieder. (Bild: 2ragon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/66/99664bb4deaa0658bb63829dc519ce37/0109263207.jpeg "Kein Ansatz für sich allein genommen eignet sich perfekt zur Produktivitätsmessung. Doch es stehen Optionen bereit, die sich den Anforderungen nähern können. (Bild: <a href=https://pixabay.com/users/tumisu-148124/>Tumisu</a>)")
:quality(80)/p7i.vogel.de/wcms/92/04/92040188bf6a5759c92127a77dc7ecf6/0110148626.jpeg "Die Einführung digitaler Innovationen muss den Praxisalltag erleichtern und darf nicht zu einem
Mehraufwand führen (Bild: contrastwerkstatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351a0c0c6dad9d13c882bd69ee6ca42/0110012670.jpeg "Modelldatei zur Repräsentation des Schemas. (Bild: Krypzcyk & Bochkor / DbSchema)")
:quality(80)/p7i.vogel.de/wcms/e3/de/e3de24c10c696d41a2d2533020b59380/0109751159.jpeg "Vor dem Einsatz eines API-Typs sollte man die verfügbaren Ressourcen analysieren und die Anforderung der Anwendung genau definieren. (Bild: © vector_v - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/91/6491be5132b77668c299ce6e466ca14c/0109296609.jpeg "Microcontroller-Boards gibt es zuhauf, wir stellen einige Arduino-Alternativen vor. (Bild: <a href=https://pixabay.com/users/aakelner-9429309/>Alexander Kelner</a>)")
:quality(80)/p7i.vogel.de/wcms/98/6e/986e5cd88216694a387f05aa50bfdb02/0110358940.jpeg "„So lösen Legacy-Systemen mit High-Performance Low-Code ab“, ein Interview von Oliver Schonschek, Insider Research, mit Lars Klein von S&D Software und Patrick Knapp von OutSystems. (Bild: Vogel IT-Medien / OutSystems / S&D Software / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/a6/e1/a6e15b9f1a94c153e82d548c3dd90e61/0109476138.jpeg "Die Portabilität und Interoperabilität von Container-Technologien sind die wichtigsten Kernziele der Open-Container-Initiative. (Bild: <a href=https://www.pexels.com/@dibert/>David Dibert</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Sicherheit und DevOps vereinen – so geht es in der Praxis Der Weg zu DevSecOps
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
Security muss eng mit den DevOps-Prozessen integriert und gleich zu Anfang der Entwicklung berücksichtigt werden. Doch wie schafft man diese Veränderung, die weniger die Technik als vielmehr die Organisation und Unternehmenskultur betrifft? Beratungshäuser und Marktforscher geben Empfehlungen, die sich zu einem Vorgehensmodell entwickeln lassen.
Im Mittelpunkt steht die Unternehmenskultur
Wer DevSecOps zu technisch sieht, kann sein Ziel nicht erreichen. Tools und technische Verfahren werden zwar benötigt, doch sie machen nicht den wesentlichen Unterschied zu klassischen Vorgehensmodellen bei der Softwareentwicklung aus.
Von Beratern hört man oft einen Satz zu DevSecOps, der zeigt, wie sehr es um Organisation und Firmenkultur geht: Wenn Fehler geteilt und nicht verborgen werden, kann dies das Lernen im gesamten Unternehmen beflügeln und zu zukünftigen Verbesserungen führen.
Bei DevSecOps geht es um Veränderungen in der Kultur des Unternehmens, nicht nur um neue Verfahren und um Tools, um die Transparenz, die Zusammenarbeit und die Agilität zu optimieren, während die Security in jede Phase der Entwicklung Einzug hält.
Von DevOps für DevSecOps lernen
Wer bereits DevOps eingeführt hat, kann diese Erfahrungen nutzen, um DevOps zu DevSecOps zu erweitern, wie zum Beispiel Empfehlungen der Marktforscher von Gartner zeigen:
- Zuerst muss es eine Business-Entscheidung geben, warum DevSecOps eingeführt werden muss. Die steigenden Cyberrisiken und die möglichen, hohen Schäden bei erfolgreichen Attacken bieten ebenso Argumente wie die Compliance-Forderungen zu Security by Design.
- Dann gilt es ein gemeinsames Verständnis für DevSecOps zu entwickeln, damit jeder im Unternehmen weiß, was dies bedeutet und was es bringen soll.
- Man sollte immer mit der Entwicklung einer Applikation anfangen und nicht versuchen, DevSecOps gleich in ganzer Breite anzuwenden.
- Für diese erste Applikation muss es dann ein übergreifendes Team aus Entwicklung, Betrieb und Security geben, mit klaren Zielen, die messbar sein sollten.
- Dann geht es schließlich um die Verfahren und Tools (Toolchain). Die Implementierung umfasst eine integrierte Toolchain, die einen Ansatz zur Bewertung und Auswahl von Tools ermöglicht, sodass jedes Tool im Anwendungslebenszyklus mit dem benachbarten Tool gekoppelt werden kann. Durch die Verknüpfung aller Automatisierungs-Touchpoints und Informationsflüsse wird die Entwicklung von Releases durch die Toolchain beschleunigt und gleichzeitig Fehler, Nacharbeiten und Ausfälle reduziert.
Was es mit der Automatisierung der Security auf sich hat
Die DevSecOps-Bausteine „Kommunikation“ und „Zusammenarbeit“ scheinen dem dritten Baustein „Automatisierung“ entgegenzulaufen: Denn wenn Menschen sich austauschen, kann dies als kontinuierlicher Prozess gesehen werden, aber automatisch geht dies nur auf Tool-Ebene, nicht bei uns Menschen.
Tatsächlich bedeutet die Automatisierung auch, dass wir Menschen Aufgaben an die Technik delegieren. Im Fall von Security sollen also Security-Maßnahmen delegiert und automatisiert werden. Dies spart Zeit und Aufwände für Aufgaben, die der menschlichen Expertise bedürfen. Gerade im Bereich der Softwaretests stehen viele Tools zur Verfügung, die automatische Funktionen vorhalten. Diese gilt es in den Entwicklungsprozess zu integrieren.
Wie die Security an die richtige Stelle gerückt wird
Betrachtet man den Entwicklungsprozess genauer, wird deutlich, wo die Security ansetzen muss und wo etwas automatisiert werden kann. Der übliche, kontinuierliche Prozess bei der Entwicklung sollte sein:
- Erstellung neuer Module, Funktionen und Updates
- Überwachung und Kontrolle des Codes und der Einhaltung der Security-Anforderungen
- Einstellen des aktualisierten und getesteten Codes in das zentrale Repository
Security muss dabei aber gleich zu Anfang berücksichtigt werden. Security-Standards müssen also Teil der Entwicklungsstandards werden. Security ist somit eine Anforderung an das Development, wie alle anderen Qualitätskriterien auch.
Abweichungen von den Anforderungen und damit auch von der Security müssen durch eine Feedback-Schleife direkt und kontinuierlich an die Entwickler gehen. Dazu gehören auch Fehlermeldungen, die bei den automatisierten Security-Tests erzeugt werden und die nicht nur an die Security gehen sollten, sondern an alle Beteiligten im Team. An der Behebung arbeiten dann auch alle im Team mit, Security gemeinsam mit der Entwicklung und dem Betrieb.
Es geht also darum, automatisierte Sicherheitsprüfungen in den Entwicklungsprozess zu integrieren, um die Security-Risiken gleich an der Quelle zu beheben. Auch Code Reviews müssen fortlaufend erfolgen und nicht erst bei Abgabe eines fertig entwickelten Moduls.
Die Praxis zeigt zudem, dass es Sinn machen kann, Belohnungen für das Aufdecken von Fehlern zu vergeben, intern im Team, also ein internes Bug-Bounty-Programm zu etablieren. Dabei sollen die aufgedeckten Fehler belohnt und nicht etwa die entdeckten Fehler bestraft werden. Die Unternehmenskultur muss fehlertolerant sein, damit sich Agilität ausbreiten kann.
Dieser Artikel ist ursprünglich in unserem eBook „DevOps und Securiy“ erschienen. Dieses beleuchtet die aktuellen Entwicklungen oder auch die Unterschiede zwischen DevSecOps, SecDevOps und DevOpsSec.
(ID:47006309)
:quality(80)/images.vogel.de/vogelonline/bdb/1905900/1905954/original.jpg "DevSecOps wurde konzipiert, damit in der agilen Entwicklung und Bereitstellung keine Bedrohungen oder Schwachstellen mehr auftauchen. (Murrstock - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1899700/1899757/original.jpg "„Policy-as-Code kann viele Nacharbeiten vermeiden, die entstehen, wenn sich Entwickler der Sicherheitsrichtlinien nicht bewusst sind.“ (sarayut_sy - stock.adobe.com)")