:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/0a/96/0a96a5466d57862cf0bc9c8f96ec187e/0114288251.jpeg "In der EMEA-Region sind Software-Schwachstellen offenbar häufiger und kritischer als in anderen Regionen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/63/d2/63d2f4e43c55e2140ec3bd9b96d19d5c/0114247757.jpeg "Zumindest in der jetzigen Form wird künstliche Intelligenz keine Jobs vernichten, sondern vielmehr ergänzen. (Bild: <a href=https://pixabay.com/de/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/4a/2c/4a2c83570cf413a53acc88791127985b/0113689146.jpeg "UX- und UI-Design müssen sich auf immer neue Trends einstellen, es gibt allerdings auch einige festgeschriebene Grundregeln. (Bild: <a href=https://unsplash.com/@karlsolano>Karl Solano</a>)")
:quality(80)/p7i.vogel.de/wcms/c5/cf/c5cfc19667755322546e8e914f17890d/0114256966.jpeg "Mehr am Bahnhof denn in der Berufsschule: Der angehende Fachinformatiker für Systemintegration Jonas Lohrmann beklagt lange Wege zur Berufsschule. (Bild: Lohrmann)")
:quality(80)/p7i.vogel.de/wcms/5e/08/5e0825016fa505d43decf6f23fcd5047/0114270026.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/7b/6d7bd893f3034b22e9515d03f4a2bcf8/0114243416.jpeg "Lens AppIQ richtet sich laut Mirantis insbesondere an IT-Fachkräfte, die täglich mit Kubernetes arbeiten müssen. (Bild: Mirantis)")
:quality(80)/p7i.vogel.de/wcms/dd/64/dd64a3e1d07ca90d00b83de559c2512d/0113887944.jpeg "„Edge-Computing ist kein bestimmter Ort oder Gerätetyp, sondern eher ein Kontinuum von Standorten, die vom zentralisierten Cloud-Computing entfernt sind“, so Autor Sebastian Scheele. Trotzdem eignen sich Cloud-Native-Technologien, insbesondere Kubernetes, um an der Edge Computing zu betreiben. (Bild: frei lizenziert: distelAPPArath)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/14/92/149229c3cdb94b319e006f52423c09db/0114168289.jpeg "Eine Kombination aus Rust und Python – oder Python und Rust – kann die Vorteiler beider Programmiersprachen vereinen. (Bild: <a href=https://pixabay.com/users/artdemarta-6006022/>Marta Bellés</a>)")
:quality(80)/p7i.vogel.de/wcms/45/93/45930907cccf8cb2ca621cb6555cf717/0114183021.jpeg "SQL-Datenbanken lassen sich unproblematisch hin zu PostgreSQL migrieren, Unternehmen sollten diesen Schritt trotzdem gut vorbereiten. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/58/19/5819c761ed85847bcd078190acf7ad4f/0114215872.jpeg "Die Beta von GitHub Copilot Chat ist fortan für alle User von Visual Studio und VS Code verfügbar. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Reifegrad der IT Security bestimmen DevSecOps-Maturity-Modell für mehr IT-Sicherheit
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Das DevSecOps-Konzept, also die Verbindung aus Development, Security und IT-Operations, kann gefährliche Schwachstellen in Sicherheitsprozessen offenlegen. Vor der Einführung eignet sich ein Maturity-Modell zur Bestimmung des Status quo.
Das Konzept von DevOps, eine Wortzusammensetzung aus den Begriffen Development und IT Operations, soll im Sinne des Kundenerlebnisses die Geschwindigkeit und Qualität der Anwendungsentwicklung erhöhen. Doch mit wachsender Geschwindigkeit und Komplexität der Entwicklung entstehen auch neue Sicherheitsrisiken. DevOps-Teams entwickeln sich weiter und mit DevSecOps ist ein neuer Bereich entstanden, der bessere Sicherheitsmechanismen in den Software Developement Lifecycle (SDLC) integriert.
Obwohl DevSecOps die IT-Sicherheit erhöhen, ist ihre Einführung wenig bis gar nicht standardisiert. Hier kann das Maturity Model helfen, um Lücken in Sicherheitsprozessen zu identifizieren und DevSecOps im Unternehmen erfolgreich voranzutreiben.
Einblicke in Sicherheitsprozesse
Meine Erfahrung in der Entwicklung von DevOps- und nun eben auch DevSecOps-Praktiken hat ein paar grundlegende Erkenntnisse über den Security-Bereich zutage gefördert.
So kann Sicherheit schnell zu einem Engpass im Bereitstellungsprozess neuer Software werden, da DevOps-Teams meist schneller arbeiten als ihre Kollegen in der IT-Sicherheit. Bessere Sicherheitskontrollen sind daher bereits in der Entwicklung notwendig, um die Softwarebereitstellung zu beschleunigen und das Risiko von Anwendungsschwachstellen zu minimieren. Schon heute werden Sicherheits-Teams viel früher in den SDLC eingebunden als noch vor einigen Jahren.
Es bleibt jedoch das Problem, dass Sicherheitsteams oft isoliert sind. Sie verwenden häufig andere Tools, Prozesse und eine andere Terminologie als DevOps-Bereiche, was die Einbindung von Sicherheitspraktiken in bestehende Entwicklungsabläufe erschwert.
Ausgereifte DevOps-Praktiken beschleunigen die Bemühungen, DevSecOps voranzutreiben. Aber selbst Unternehmen, die bereits über einen hohen Reifegrad verfügen, finden immer wieder erhebliche Lücken in der Transparenz der Anwendungssicherheit, etwa einen Mangel an klar definierten Metriken, die in jedem Team zugänglich sind.
DevSecOps Kompetenzen
Folgende Kompetenzen sind von Bedeutung für den Aufbau von DevSecOps-Prozessen und der eigenen DevSecOps-Reife. Wenn Verantwortliche verstehen, wie sich diese Kompetenzen auf ihr Unternehmen und den SDLC auswirken, können sie den DevSecOps-Prozess entmystifizieren und die richtigen Schritte in Richtung organisatorischer Reife einleiten.
Kultur: Die Kultur eines Unternehmens ist ein wichtiger Bestandteil beim Aufbau ausgereifter DevSecOps-Prozesse. Hier sollte im Sinne der Kommunikation auf die Beseitigung von Silos gesetzt und eine regelmäßige Kommunikation zwischen den beteiligten Teams gefördert werden. Im Onboarding müssen Unternehmen zwingend darauf achten, dass neue Teammitglieder sich schnell in die Entwicklungsprozesse einarbeiten können. Die Verantwortlichen sollten zudem eine Kultur pflegen, die Teams ermutigt, transparent zu agieren und die Verantwortung für Entscheidungen zu übernehmen
Planung und Entwicklung: Die Idee von DevSecOps ist es, Sicherheitsüberlegungen in die Planungs- und Entwicklungsphasen des SDLC zu verlagern. So haben die Teams genügend Zeit, um angemessene Sicherheitsmaßnahmen zu implementieren und das Risiko zu verringern, dass Schwachstellen erst beim Kunden auftreten. Vor allem, da Sicherheitsschwachstellen in späteren Phasen des SDLC schwieriger zu beheben sind, da diese oft eine grundlegende Änderung der Anwendungsarchitektur erfordern, für die nicht genügend Zeit zur Verfügung steht.
Es gilt vor allem die Punkte Risikobewertung, Technical Dept Management, Priorisierung und Code-Validierung zu berücksichtigen. Unternehmen sollten beim Entwurf neuer Funktionen umfassende Risikobewertungen und Bedrohungsmodelle erstellen. Sie sollten Designentscheidungen treffen, die die möglichen Konsequenzen schlechter technischer Umsetzung von Software, man spricht von Technical Dept, minimieren. Das beinhaltet das Aufsetzen von Prozessen für die Priorisierung von Funktionen und Fehlern sowie eine regelmäßige Überprüfung der Qualität und Sicherheit von neuem Code durch Validierungsprüfungen, die in den Entwicklungsprozess integriert sind.
:quality(80):fill(efefef,0)/p7i.vogel.de/wcms/61/1e/611e44658013f/insys-titelbild-wp.png "Insys Titelbild WP")
Erstellen und Testen: Neue Funktionen können während der Code-Feinabstimmung längere Zeit in der Erstellungs- und Testphase verbringen, um Bugs und Probleme mit der Benutzerfreundlichkeit zu beheben. DevSecOps-Praktiken definieren in dieser Phase, wie Sicherheitsschwachstellen oder Designmängel behandelt werden und ihnen entsprechende Priorität eingeräumt wird. Um die eigene DevSecOps-Reife abzuleiten, sollte in diesem Bereich die Qualitätssicherung und Testautomatisierung unter die Lupe genommen werden. Überprüfen routinemäßig verschiedene Arten von automatisierten Tests die Funktionalität? Gibt es ein regelmäßiges Code-Scanning, um Schwachstellen und andere damit verbundene Probleme aufzudecken? Wie sieht es mit der Build-Validierung aus? Werden neue Builds anhand von Sicherheits- und Entwicklungsrichtlinien verifiziert?
Release und Bereitstellung: Eine Bereitstellungsstrategie sollte dabei helfen, Code mit weniger Zwischenfällen oder Konfigurationsfehlern freizugeben und gleichzeitig schnell auf Probleme zu reagieren, die im Rahmen einer Freigabe auftreten. Das DevSecOps Maturity Model empfiehlt die Überprüfung der folgenden Bereiche, um festzustellen, wie gut Ihre Teams die Bereitstellung verwalten: Bereitstellungsautomatisierung von Code in der entsprechenden Umgebung, um Benutzerfehler oder Fehlkonfigurationen zu minimieren; Durchführung von Sicherheits- und anderen Validierungsprüfungen vor einer neuen Bereitstellung; Automatische Rücknahme von Code-Änderungen, die die Funktionalität beeinträchtigen oder eine Sicherheitsschwachstelle aufdecken
Operativer Betrieb: Die folgenden Aspekte stellen sicher, dass die richtige Infrastruktur für eine Anwendungen gewählt wurde. Im Plattformmanagement sollte die Nutzung von Infrastructure as Code zur automatischen Verwaltung von Sicherheitskonfigurationen und -ressourcen zum Tragen kommen. Ressourcenkapazitäten sollten auf den täglichen Ausgaben und dem saisonalen Wachstum geplant werden und eine automatische Skalierung der Ressourcen sollte möglich sein, um schwankende Nachfragen abzudecken und Angriffe, zum Beispiel DDoS-Attacken, problemlos abzufangen.
Im Sinne der Zuverlässigkeit sollten Ressourcen in mehreren Verfügbarkeitszonen und Regionen gehostet sein. Regelmäßige Ausfallsicherheitstests mit automatisierten Chaostests überprüfen die Infrastruktur, während ein automatisierter Patching-Prozesses Schwachstellen identifiziert und hilft, diese zu beheben. Und letztlich braucht es einen Disaster Recovery-Plan für die Wiederherstellung von Infrastrukturressourcen im Ernstfall.
Beobachten und Reagieren: In den letzten Phasen des SDLC müssen Unternehmen in der Lage sein, Probleme wie neue Schwachstellen und Bedrohungen nach der Bereitstellung in der Produktion zu überwachen und zu beheben. Hier sollten Unternehmen entsprechende Service Level Objectives (SLOs) und Fehlerbudgets verwenden, um technische Entscheidungen zu treffen und die Zuverlässigkeit ihrer Dienste zu messen. Sie sollten in der Lage sein, ihre Infrastruktur regelmäßig zu scannen, um Schwachstellen und Fehlkonfigurationen von Diensten aufzudecken. Das beinhaltet auch eine Überwachung von Sicherheits-KPIs, die dienstübergreifend messbar sind. Ebenso sollten Benutzerfreundlichkeit und Performance der Anwendung im Blick behalten werden. Den Abschluss macht das Incident Management und Postmortems. Hier gilt es eine umfassende Ursachenanalyse mit detaillierten Runbooks für das Management von Incidents zu fördern.
Lücken erkennen
Sind DevSecOps-Praktiken erst ausgereift, ziehen sie eine erhebliche Verbesserung der allgemeinen Sicherheitslage und eine beschleunigte Produktentwicklung nach sich. Die hier genannten Themenfelder sind Best Practices für die Einführung von DevSecOps. Die Bewertung des aktuellen Stands in jeder dieser Bereiche ermöglicht Unternehmen den Übergang von DevOps-Methoden zu ausgereifteren DevSecOps-Verfahren. So können Lücken identifiziert und die notwendigen Pläne zur Weiterentwicklung in jedem dieser Zweige umgesetzt werden, etwa die Einführung neuer Tools, Schulungen und Teams zur Unterstützung des Übergangs.
(ID:47918617)
:quality(80)/p7i.vogel.de/wcms/26/cd/26cdc4e8fa35779e31a7d5ed1fc5cd54/0109928003.jpeg "Automatisierte SQA-Techniken, -Prozesse und -Werkzeuge schaffen robuste Software, unser eBook liefert einen Überblick. (© greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5e/165efc1cf009526a7f6c5a8822deb4b4/0106446899.jpeg "Unser eBook „Open-Source-Tools“ befasst sich damit, welche Vorteile und Herausforderungen mit quelloffenen Werkzeugen und Komponenten einhergehen. (© Viacheslav - stock.adobe.com)")