:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/d7/ddd7f2c4859b85a8b1688f38e3092085/0111289633.jpeg "Code-Fragmente machen das Programmieren deutlich effizienter. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/80/89/8089a443255acb4adc657bb0e64a0d69/0111553974.jpeg "Erster Blick auf Parasoft Jtest 2023.1. (Bild: Parasoft)")
:quality(80)/p7i.vogel.de/wcms/ff/f8/fff8d58054f9546032349bcfd610f977/0110367136.jpeg "Agile Softwareentwicklung lebt unter anderem vom ständigen Austausch aller Beteiligten. (Bild: <a href=https://unsplash.com/de/@jasongoodman_youxventures>Jason Goodman</a>)")
:quality(80)/p7i.vogel.de/wcms/9e/fa/9efa0cc7438c341e53e44ab403510441/0111640567.jpeg "Der Open-Source-Scanner Trivy lässt sich unter anderem per CLI aufrufen und unterstützt nun auch die Kubernetes-Benchmarks des CIS. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/ce/99/ce994c9dce9fac6c16e96a2871e6c3be/0110414706.jpeg "Nur im Zuge einer umfangreichen Security-Strategie lässt sich ein heterogenes Endpoint-Universum vor Bedrohungen zu schützen. (Bild: <a href=https://pixabay.com/users/coolvid-shows-18646168/>CoolVid-Shows</a>)")
:quality(80)/p7i.vogel.de/wcms/dd/8b/dd8bdf45a5452802972c54a0c54d85d6/0111382050.jpeg "Für DevOps-Teams stellt der Übergang zu modernen, Cloud-basierten Anwendungsumgebungen eine große Herausforderung dar. (Bild: <a href=https://pixabay.com/users/williamscreativity-17210051/>WilliamsCreativity</a>)")
:quality(80)/p7i.vogel.de/wcms/85/49/854932edf414b2f888be89bd3ddf447c/0111835486.jpeg "Cloud Native Rockstars on stage (oben, v.l.): Thomas Hartinger, Phil Korte, Alina Schneider, Nadège Jakob, Tobias Renk, Sebastian Kister, Volker Zöpfel und Linda Früh, daneben die Juroren Dr. Jens Eckhard und Dr. Nils Kaufmann mit Vorjahres-Preisträgerin Emma Wehrwein. In der unteren Reihe (v.l.) Erik Schubert, Moderatorin Lydia Hundsdörfer und Stephan Augsten von den Vogel IT-Medien, Stefan Jacobs, Juror und Keynote-Speaker Maximilian Hille sowie Preisträger Tim Urlaub. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/19/7b19253be9adc79579f0725469c0776a/0111556272.jpeg "Eine Cloud-Migration harmoniert gut mit den DevOps-Prinzipien, die dadurch ein Revival erleben könnten- (Bild: <a href=https://pixabay.com/users/bearinthenorth-2960032/>Anastasia Borisova</a>)")
:quality(80)/p7i.vogel.de/wcms/b8/bf/b8bfcf221961042a9d80a661969868af/0111108621.jpeg "Der Abbau von technischen Schulden bindet Ressourcen, die für aktuelle Projekte dringend benötigt werden. (Bild: © – profit_image – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/61/3e61a6ad22070f1d8239744aa90462ad/0111352868.jpeg "Der sogenannte „Renovate Bot“ aktualisiert nicht selbst, sondern stellt Merge-Requests an das Development Team. (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/a1/2b/a12b814d8d4e1d5ae4d9817d12f5a2d5/0110227353.jpeg "BPMN ist ein intuitives Tool, das sich zu einem Standardverfahren für die Visualisierung von Geschäftsprozess-Workflows entwickelt hat. (© NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/d3/13d37d2a255166d3b801341d81ff0cff/0111621162.jpeg "Automobilarchitekturen wandeln sich zu zonalen, zentralen Rechenzentren und schließlich zu Software Defined Vehicles. (Bild: © – vegefox.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/53/3253e183359754bee5c1b52b1fc0aff6/0111206462.jpeg "Die Datenbankevolution treibt KI, ML und Deep Learning, was die Art und Weise des menschlichen Wissenserwerbs widerspiegeln soll, weiter an. (Bild: Dimitrios - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/dd/55ddac3b4e6f52d4b2584f77a72db2ee/0111768534.jpeg "MariaDB hat die Observability-Funktionen von SkySQL weiter ausgebaut. (Bild: Mohamed Hassan)")
:quality(80)/p7i.vogel.de/wcms/ec/92/ec9271497f9a497ec5c149833911b065/0111435523.jpeg "In den Fachabteilungen wissen die Angestellten genau, welche Tools sie benötigen – warum unkomplizierte Anwendungen nicht selbst bauen lassen? (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/19/1d/191d69675e71d858a172728556fcbafb/0111041367.jpeg "OVHcloud hat mit AI Deploy einen neuen Service für KI-Anwendungen veröffentlicht. (Bild: OVHcloud)")
:quality(80)/p7i.vogel.de/wcms/50/1e/501e67c0fb83d75fc4e0959b137e349b/0111403157.jpeg "Large Language Models verstehen natürliche Sprache, können übersetzen, auf Basis ihrer Daten neuen Text generieren und vieles mehr. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/19/31/1931878346987d5f61c5ed1b967599ae/0104711006.jpeg "Datenstrukturen werden in der Regel auf die Verarbeitung durch Algorithmen hin optimiert. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/67/e96797cf34887ed47068092a4289a884/0111209876.jpeg "Effizienten Code zu schreiben, ist eine große Herausforderung, der sich etliche Unternehmen gerade stellen. (Bild: <a href=https://pixabay.com/de/users/insspirito-1851261/>Garik Barseghyan</a>)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
Anwendungssicherheit heißt mehr als nur „Shift Left“ DevSecOps – den Code knacken
Anbieter zum Thema
Cyberkriminelle entwickeln immer neue Angriffsstrategien. In agilen Development-Prozessen dienen deshalb DevSecOps-Methoden wie das Shift-Left-Testing dazu, potenzielle Schwachstellen möglichst früh zu eliminieren. Doch warum sind solche Strategien nicht immer von Erfolg gekrönt?
Die Praxis der Anwendungsentwicklung hat sich stetig weiterentwickelt. Heute liefern Entwicklungsteams Anwendungen in schnellerem Tempo ab als jemals zuvor. Parallel dazu haben Cyberkriminelle neuartige Angriffsstrategien entwickelt und ihren Fokus intensiviert. Entwicklungs- und Sicherheitsteams haben mit dem sogenannten „Shift Left“ reagiert – das heißt, sie bauen Sicherheit zu einem früheren Zeitpunkt im Entwicklungsprozess ein. Und sie investieren in entsprechende Testtools.
The Enterprise Strategy Group (ESG) hat jüngst im Auftrag von Synopsys eine Studie zu DevSecOpsdurchgeführt. Demnach gehen viele der Befragten davon aus, dass verbesserte DevOps-Integrationen die Antwort auf das Problem sind. Für 43 Prozent ist dies eines der wichtigsten Dinge, um AppSec-Programme zu verbessern. 58 Prozent der Unternehmen wiederum räumen der Applikationssicherheit bei den Investitionen in die Sicherheit höchste Priorität ein.
Doch trotz dieser nicht unbeträchtlichen Investitionen kämpfen Firmen auch weiterhin mit einer Reihe von Herausforderungen. Entwicklern fehlt an dieser Stelle oft das nötige Wissen – und auch die Integration zwischen verschiedenen AppSec-Tools ist alles andere als trivial. Dazu kommen Reibungsverluste, welche die Entwicklungsgeschwindigkeit verlangsamen.
Das Tempo, mit dem die digitale Transformation voranschreitet, bringt Entwicklungsteams in eine Zwickmühle: Sie sind gezwungen, zwischen Time-to-Market-Anforderungen und Risikominderung zu entscheiden. Trotz laufender Investitionen in AppSec-Programme räumen acht von zehn Unternehmen ein, Änderungen an Anwendungen mitsamt der bekannten Schwachstellen voranzutreiben.
Neue Methoden, neue Herausforderungen
Software-Anwendungen sind inzwischen zu einem Anker für die Interaktionen zwischen Kunden und Handel geworden. Um in einer schnelllebigen, digitalen Wirtschaft wettbewerbsfähig zu bleiben, brauchen Unternehmen ein hohes Maß an Geschwindigkeit und Agilität. Das hat den Druck auf die Entwicklungsteams enorm erhöht.
Um die Entwicklungsgeschwindigkeit zu erhöhen, wird auch hier investiert: in Cloud-native Architekturen, agile Entwicklungspraktiken und DevOps-/GitOps-Automatisierung. Alles Strategien, die eine schnellere Bereitstellung erlauben. Die Sache hat aber einen Preis, denn Software wird immer komplexer. Und das bringt für AppSec-Teams neue Herausforderungen mit sich.
Moderne AppSec-Programme sind denn auch ein unübersichtlicher Mix aus manuellen und automatisierten Tools und Praktiken. Applikationsschwachstellen sind bekanntermaßen ein großes Cybersicherheitsrisiko. Dieser Fakt motiviert Investitionen in AppSec-spezifische Sicherheitsressourcen, automatisierte Testtools zur Schwachstellenbewertung und Sicherheitsschulungen für Entwickler. Tatsächlich geben 71 Prozent der Befragten an, AppSec-Tools für über 50 Prozent ihrer Codebasis zu verwenden. 69 Prozent der Befragten bewerten die Effektivität ihres Programms mit acht oder höher auf einer Skala von eins bis zehn.
Um mit den sich beschleunigenden Entwicklungszyklen Schritt zu halten, arbeiten Sicherheitsteams daran, Sicherheit vorzuziehen (Shift left) und Probleme früher im Entwicklungsprozess aufzudecken. Die DevOps-Integration automatisiert einen Großteil des Bewertungsprozesses und sorgt für mehr Konsistenz. Ohne eine manuelle Triage und Priorisierung durch Entwicklungs- und Sicherheitsanalytiker kommt man aber dennoch nicht aus.
Trotz laufender Aufwendungen haben viele Unternehmen, Schwierigkeiten, AppSec-Programme effektiv zu implementieren und zu betreiben. Das gilt insbesondere für Firmen, die große Anwendungsportfolios managen. Sicherheitstests in Entwicklungs-Toolchains und Workflows zu integrieren und zu automatisieren ist unerlässlich. Dem werden wohl die meisten zustimmen. Die Diskrepanz zwischen der Geschwindigkeit von Build- und Testaktivitäten führt aber in der Praxis nicht selten dazu, dass sich die Entwicklungsgeschwindigkeit verlangsamt.
Entwicklungsstrategien schreiten schnell voran, AppSec-Strategien hinken hinterher. Die ESG-Untersuchung hat einige der zentralen Knackpunkte aktueller AppSec-Strategien identifiziert:
Zu viele Ergebnisse
Ein einzelner Scan durch ein „Application Security Testing“- oder kurz AST-Tool fördert Hunderte oder sogar Tausende von Ergebnissen zutage. Teams, die vollständige AST-Scans in ihre CI-Pipelines integriert und automatisiert haben, stehen oft vor dem Problem, die schiere Menge und Duplizität von Ergebnissen aus verschiedenen Stadien des SDLC zu bewältigen. Zwar stellt nur kleiner Prozentsatz ein so hohes Risiko dar, dass es sofort behoben werden muss. Aber schon allein die Schwachstellen mit hoher Priorität zu identifizieren und zu priorisieren ist Belastung genug.
Starke Ausbreitung von Tools und Scans
Drei von zehn Befragten gaben an, dass sie von der Anzahl der verwendeten Test-Tools regelrecht erschlagen werden. 26 Prozent der Unternehmen sagen, dass die Gesamtheit der verwendeten AppSec-Tools Entwicklungsprozesse behindert und die Entwicklungsgeschwindigkeit beeinträchtigt.
Lange Scanzyklen
Die Geschwindigkeit bei der Anwendungsentwicklung ist inzwischen so hoch, dass herkömmliche AppSec-Ansätze nicht mehr mithalten können. Build-Pipelines sollen nicht selten in einem Takt von Sekunden bis zu wenigen Minuten laufen. Scans mit AppSec-Tools beanspruchen mindestens mehrere Minuten bis hin zu Stunden. Das Problem verschärft sich weiter, weil oftmals unterschiedliche Formen der Analyse (z.B. SAST, SCA, etc.) durchgeführt werden müssen. Entwicklungsteams stehen dann vor dem Problem, dass die Applikationssicherheit die Geschwindigkeit der Pipeline beeinträchtigt.
Schlecht abgestimmte Risikomodelle
Sicherheitstools werden nicht selten auf sämtliche Anwendungsänderungen angewendet, unabhängig vom Risikoprofil. Wenn klare Richtlinien fehlen, welche Bewertungstools für unterschiedliche Risikoszenarien zum Einsatz kommen sollen, wird meist pauschal verfahren. Das hat gleich mehrere unerwünschte Folgen.
Bei Anwendungen mit einem hohen Risiko sind die Tests unzureichend, während man gleichzeitig Zeit und Ressourcen für Änderungen verschwendet, mit denen lediglich ein geringes Risiko verbunden ist. AST-Tools enthalten zwar häufig Funktionen, um Richtlinien durchzusetzen und Schwachstellen zu melden. In der Regel handelt es sich dabei aber um isolierte Implementierungen, die typischerweise an verschiedenen Stellen im SDLC eingesetzt werden.
Zu viele Exploits
Obwohl sie mehrere AppSec-Tools einsetzen, räumen 81 Prozent der Unternehmen ein, dass bereits Schwachstellen in ihren Anwendungen ausgenutzt wurden, 60 Prozent davon in den letzten 12 Monaten aufgrund von OWASP-Top-10 Schwachstellen.
Eine simple Integration und Automatisierung von Sicherheitstest-Tools in CI-Pipelines, um kontinuierliche Tests zu gewährleisten, wird den Anforderungen der modernen Anwendungsentwicklung nicht gerecht. Wir brauchen offensichtlich ein neues AppSec-Modell. Anders ausgedrückt: Software-Sicherheit behindert die DevOps-Geschwindigkeit. Also sollten Unternehmen genau diesen Ansatz modernisieren.
AppSec-Strategien sollten einem risiko- und bedarfsorientierten Sicherheitsansatz folgen. Anwendungsänderungen mit einem höherem Risiko werden strenger kontrolliert, während Sicherheitstests in Bereichen mit geringerem Risiko zurückgestellt werden. Diese risikobasierten Kontrollen sollten sich intelligent und nahtlos in den DevOps-Kern integrieren, ohne die Entwicklungsgeschwindigkeit zu beeinträchtigen.
Sowohl Sicherheitsabteilung als auch Entwicklungsteam müssen die Möglichkeit haben, sich an den Sicherheitszielen auszurichten und sie zu erreichen. Die Lösung sollte individuelle Risikoprofile berücksichtigen und sie mit Sicherheitsrichtlinien und -profilen abgleichen. Danach entscheidet sich, welche automatisierten und manuellen Kontrollen angewendet werden und auch wann.
Sicherheitsteams stehen mit dem Shift-Left-Ansatz unter hohem Druck, ihre Tools und Prozesse in die zunehmend automatisierte Welt der Softwareentwicklung zu integrieren. Traditionelle AppSec-Strategien können mit modernen Entwicklungspraktiken nicht mithalten. Geschwindigkeit spielt bei der Anwendungsentwicklung in einer digitalen Wettbewerbslandschaft eine immer wichtigere Rolle. Es gilt einen Weg zu finden, Änderungen schnell zu implementieren, damit Entwicklungsteam keinen Kompromiss zwischen Lieferdatum und Sicherheitsanforderungen eingehen müssen.
Ohne die Möglichkeit schneller Änderungen wird das Risiko schnell eskalieren. DevOps muss sich von den Reibungsverlusten der Applikationssicherheit befreien, damit Entwickler ihrerseits Fortschritte nutzen können, die ihrerseits höhere Geschwindigkeiten und Skalierung erlauben.
Wer trägt die Verantwortung?
Einen entscheidenden Teil des Puzzles haben wir bislang noch unberührt gelassen: Das Thema Verantwortung. Wer ist für die Implementierung von DevSecOps verantwortlich, und wer stellt sicher, dass alle Beteiligten bei jedem Schritt mitziehen? Man muss dazu den Begriff des „Shift Left“ richtig verstehen. Es reicht nicht, sich für ein Tool zu entscheiden und es auf der linken Seite des SDLC einzusetzen.
Die Idee des Shift Left ist es, so früh wie möglich auf den Status der Sicherheit Einfluss zu nehmen, und das nicht nur auf der äußersten linken Seite, sondern im gesamten SDLC. Die weitaus zutreffendere Bezeichnung lautet daher „Shift Everywhere“. Das bedeutet, so früh wie möglich auf den Stand der Sicherheit zuzugreifen und Sicherheitsprüfungen über den gesamten SDLC hinweg durchführen. Diese Überprüfungen funktionieren wie ein Durchgang. Ohne ordnungsgemäße Freigabe kann man nicht von einer Stufe des SDLC auf die nächste übergehen.
Nach dieser Lesart sollten weder Entwickler noch Sicherheitsteams allein für den Sicherheitsstatus einer Software verantwortlich sein. Üblicherweise ist es der Verantwortungsbereich des Sicherheitsteams, der innerhalb des Entwicklungszyklus zum Flaschenhals wird. Schlicht, weil sämtliche Tests der Anwendungssicherheit auf die Sicherheitsabteilung entfallen. Und die sind personell deutlich schlechter bestückt als die Entwicklerseite.
Das Modell kommt spätestens in der DevSecOps-Welt an seine Grenzen. Die Verantwortung für die Implementierung der Prozesse, aber auch dafür, dass sie verständlich sind und befolgt werden, sollte in der Managementkette deshalb so weit oben angesiedelt sein wie möglich – also beim CISO oder CTO. Er oder sie zeichnet für die gesamte Operation verantwortlich, auch für eine funktionierende Umsetzung.
Die technischen Möglichkeiten
Auf dieser Basis kann man dann die richtigen Werkzeuge in den entsprechenden Phasen einsetzen, um Bedrohungen zu erkennen und zu entschärfen. Ein Entwickler, der beispielsweise ein, in seine IDE integriertes SAST-Tool (Static Application Security Tool) nutzt, erkennt Schwachstellen bereits während des Programmierens und kann Bedrohungen frühzeitig beseitigen.
Die Verwendung eines SCA-Tools (Software Composition Analysis) in der Build-Kette identifiziert alle anfälligen Komponenten innerhalb einer Software, einschließlich ihrer direkten oder transitiven Abhängigkeiten. Dann beseitigt man die gefundenen Bedrohungen oder sogar die anfälligen Komponenten, bevor man das Produkt freigibt.
Funktionale Tests mit einem IAST-Tool (Interactive Application Security) ermitteln, ob die Software so arbeitet wie sie sollte oder ob eine gerade getestete Funktion vielleicht möglichen Angriffen die Tür öffnet. Ein Schwachstellen-Management-System schließlich hilft Ihnen, alle Risiken zu konsolidieren und die Schwachstellen effektiv zu sortieren, um sich zuerst auf die wichtigsten Bedrohungen konzentrieren zu können.
Wer sich mit dieser Aufgabe überfordert fühlt, sollte sich nicht scheuen, Prozessdefinition und -implementierung an externe Dienstleister auslagern. Deren Sicherheitsexperten übernehmen in der Regel auch die Schulung der internen Teams und entwickeln mit ihnen gemeinsam Entwicklungsprozesse und -verfahren die zukünftig eine sichere Softwareentwicklung gewährleisten.
* Boris Cipot ist Senior Security Engineer bei der Synopsys Software Integrity Group.
(ID:47551658)
:quality(80)/images.vogel.de/vogelonline/bdb/1905900/1905954/original.jpg "DevSecOps wurde konzipiert, damit in der agilen Entwicklung und Bereitstellung keine Bedrohungen oder Schwachstellen mehr auftauchen. (Murrstock - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1911800/1911895/original.jpg "Große Sprünge sind bei der Container-Terchnik nicht zu erwarten, aber das technologische Umfeld ist in ständiger Bewegung. (kaiquestr)")