:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/20/a8/20a8a156f7da6e4f19c9243209dae51b/0113707453.jpeg "Die Zahl der Jenkins-Pipelines legte zwischen Juni 2021 und Juni 2023 deutlich zu. (Bild: Jenkins.io)")
:quality(80)/p7i.vogel.de/wcms/fa/66/fa667ce27d791e4d93731d0f17c58825/0113614284.jpeg "Freelance-Plattformen sollten nicht nur umfangreiche, sondern auch verlässliche Informationen über die Fähigkeiten der jeweiligen Entwickler bieten. (Bild: <a href=https://pixabay.com/users/oleksandrpidvalnyi-4638469/>Oleksandr Pidvalnyi</a>)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/73/e2/73e2407821e9b97926d18c786b43a1dc/0113715722.jpeg "Rendered Text hat sich Gedanken zu den 12 besten Kubernetes-Tools gemacht. (Bild: <a href=https://unsplash.com/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/6b/e3/6be36ef98e76a698de9c93b777c7b38f/0113606383.jpeg "Kollaborativ, ressourcenschonend, transparent: Open-Source-Code folgt in vielerlei Hinsicht dem Gedanken der Nachhaltigkeit. (© weerapat1003 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/d5/93d5fd1b87f3649ef503933d229c71dc/0113760310.jpeg "Kein Grund mehr zu kämpfen: Die Frage, ob quelloffener Code sicherer als proprietärer Code ist, stellt sich eigentlich gar nicht mehr. (Bild: <a href=https://pixabay.com/users/tenleaf-6286534/>Yingnan Lu</a>)")
:quality(80)/p7i.vogel.de/wcms/1d/57/1d578f499e5af1dad699dc880b72e1ed/0113594566.jpeg "„Watsonx Code Assistant for Z“ von IBM soll Unternehmen dabei unterstützen, mit Hilfe von generativer KI und automatisierten Werkzeugen die Modernisierung ihrer Mainframe-Anwendungen voran zu bringen – mit dem Ziel, die Leistungsfähigkeit, Sicherheit und Ausfallsicherheit von „IBM Z“ zu erhalten. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Embedded-Entwickler stärken – mit Sicherheit Kontinuierliche Software-Releases im Internet of Things
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
Viele Sicherheitsbedrohungen im Internet of Things, kurz IoT, gehen auf Bugs zurück, die bereits im Zuge der Software-Entwicklung entstehen. Aber woher kommen diese Bedrohungen eigentlich – und wie reagieren Entwickler?
Das Internet der Dinge (Internet of Things, IoT) ist ein Milliarden Euro schwerer Markt, in dem viele Unternehmen mitspielen wollen. Deswegen geben einige offenbar einem schnellen Markteintritt den Vorrang vor der Sicherheit. Das ist umso gefährlicher, als IoT-Geräte immer beliebtere Angriffsziele werden.
Das Linux-Ökosystem strebt grundsätzlich ein hohes Maß an Qualität an. Historisch gesehen lag es in der alleinigen Verantwortung der Community, Software zu paketieren und jedes Anwendungs-Update einer sorgfältigen Überprüfung zu unterziehen. Sie sollte so sicherstellen, dass das Update wie beschrieben und auf jeder Linux-Distribution funktioniert.
Dies erwies sich aber zunehmend als Herausforderung für alle Beteiligten, nicht zuletzt deswegen, weil so viele Support-Anfragen und Bugs über die Linux-Distributionen übermittelt wurden. Diese Informationen an die entsprechenden Software-Autoren weiterzuleiten, wurde immer schwieriger.
Je größer die Zahl der Anwendungen und Linux-Distributionen, desto klarer wurde, dass dieses Modell nicht mehr trägt. Die Autoren der Software nahmen sich kurzerhand selbst der Sache an: die wählten oft nur eine einzige unterstützte Linux-Distribution aus und umgingen einen App-Store gänzlich. Im Ergebnis machten sie so die Anwendungen schwerer auffindbar und – wegen einer doppelten Infrastruktur – deren Betrieb komplexer.
Bedrohungen adäquat abwehren
Sicherheitslücken wie Spectre und Meltdown, die auf Schwachstellen in der Hardware-Architektur von Prozessoren zurückzuführen sind, haben gezeigt, wie dringend nötig Software-Aktualisierungen sind. Selbst wenn deren Management für Endanwender in Unternehmen noch nicht wesentlich einfacher geworden ist.
Es ist schlicht nicht länger akzeptabel, jede vernetzte Software als fertiges Produkt zu betrachten. Software-Wartung muss sich über die gesamte Produkt-Lebensdauer erstrecken, insbesondere in der heutigen vernetzten Welt. Die Zunahme der Robotik-Anwendungen und das Edge-Computing, die mehr Geräte online bringen, tragen das ihrige bei zur Ausbreitung der Bedrohungen.
Eine Befragung von IoT-Fachleuten durch Canonical ergab, dass sich über zwei Drittel der Befragten über einen fehlenden allgemein gültigen Industriesicherheitsstandard für das IoT Sorgen machen. Ein weiteres Resultat der Studie: fast ein Drittel der Befragten hat Schwierigkeiten, IT-Fachkräfte zu finden, die sich beim Thema IoT-Sicherheit auskennen. Das Problem ist erkannt und bekannt. Indes: ohne die entsprechenden Qualifikationen, sollen Entwickler sicherstellen, dass die Software robust ist.
Zunehmender Druck auf den Entwickler
Die Erwartungen an die Entwickler steigen. Entsprechend schwerer wiegt die Verantwortung, die sie tragen sollen. Sie sind nicht mehr nur die Macher hinter den Kulissen; sie tragen nun das Risiko, dass beispielsweise ein Roboterarm mit ihrem Programmcode bricht oder ein Patch MRT-Geräte zum Absturz bringt.
Als Industrie erkennen wir dieses Problem an, ohne wirklich etwas dagegen zu unternehmen. Man kann ein schlechtes Update haben, weil Software keine exakte Wissenschaft ist; aber dann bitten wir diese Entwickler, Schicksal zu spielen, und – um der Innovation willen – Kompromisse bei der Sicherheit einzugehen.
Auf der anderen Seite können Entwickler die Weiterentwicklung ihrer Software durchaus gegen ein Gefühl der Sicherheit eintauschen, indem sie ihren Code einfach als unveränderlich behandeln. So kommt es, dass immer noch Geräte ausgeliefert werden, die nie ein Update erfahren. Entwickler werden zu diesem Ansatz von den Geräteherstellern getrieben, die verstopfte Support-Leitungen als viel unbequemer betrachten, als sich einer Sicherheitsverletzung zu stellen.
Die Industrie entwickelt weiterhin immer mehr Software-Komponenten, die zusammengesteckt werden können und auf die Lösungen aufgesetzt werden können. Entwickler dürfen sich nicht allein die Update-Frage für ihren eigenen Code stellen, sondern müssen auch beim gesamten Code, der unter ihrem eigenen liegt, allen Entwicklern vertrauen, die vor der gleichen Entscheidung stehen.
Wie sollen Entwickler unter diesem Druck Software liefern, die noch dazu beim Thema Kosten nicht aus dem Ruder läuft? Auch wenn es für diese Herausforderung keinen Königsweg gibt, könnten Snaps eine Lösung bieten.
Das Angebot erweitern
Snapcraft ist eine Plattform zum Veröffentlichen von Anwendungen für Millionen von Linux-Anwendern. Sie ermöglicht es Autoren, Software-Updates herauszugeben, die sich automatisch installiert und im Falle eines Fehlers zurücksetzt.
Die Wahrscheinlichkeit, dass ein fehlerhaftes Update ein Gerät blockiert oder die Endbenutzererfahrung beeinträchtigt, wird dadurch stark reduziert. Wenn in den Bibliotheken, die eine Anwendung verwendet, eine Sicherheitslücke entdeckt wird, wird der Herausgeber der Anwendung benachrichtigt, so dass die Anwendung mit dem mitgelieferten Fix schnell neu gebaut und anschließend bereitgestellt werden kann.
Da Snaps ihre Laufzeitabhängigkeiten bündeln, funktionieren sie auf allen wichtigen Linux-Distributionen, ohne dass Änderungen nötig werden. Sie sind manipulationssicher und arbeiten in einer sicheren Ausführungsumgebung. Ein Snap kann keine andere Anwendung verändern oder von einer anderen Anwendung verändert werden. Jeder Zugriff auf das System über seine sichere Ausführungsumgebung hinaus muss ausdrücklich gewährt werden.
Diese präzise Definition bringt eine einfachere Dokumentation für die Installation und Verwaltung von Anwendungen mit sich. Zusammen mit automatischen Aktualisierungen, die den „Long Tail“ von Versionen beseitigen, sind vorhersehbarere und niedrigere Supportkosten typisch. Die Abweichung zwischen dem, was die Qualitätssicherungs-Abteilung testet, und dem Verhalten der Applikation auf den Systemkonfigurationen der Endanwender ist minimal.
Snapcraft bietet auch leistungsfähige Tools zum Organisieren von Releases in verschiedenen Release-Versionen (Kanäle). Ein Satz von Tools kann verwendet werden, um App-Updates von automatischen CI-Builds an die Qualitätssicherung, Betatester und schließlich an alle Benutzer weiterzuleiten.
Entwickler sollen vertrauensvoll ihre Apps bauen
Der Unterschied zwischen einer realen und einer hypothetischen Bedrohung ist gar nicht so groß. Man muss gewissermaßen auf einen Fehler vorbereitet sein. „Build for failure“ ist besser als anzunehmen, dass etwas „nicht schief gehen kann“. Denn dies kommt ein Unternehmen teuer zu stehen, wenn doch etwas schief geht und es keinen Plan hat.
Snaps verfolgt genau diesen Ansatz. Anstatt Software-Updates als eine riskante Maßnahme zu verstehen und sie nur ganz selten einzusetzen, erkennt Snaps an, dass Aktualisierungen fehlschlagen können. Wenn sie dies tun, geht der Snap zurück zur letzten Version, ohne dass die Endbenutzererfahrung beeinträchtigt wird. Der Entwickler kann dann ohne Zeitdruck den Fehler finden.
Aber da Software-first-Unternehmen immer wieder neu gegründet werden, übt dies einen unermesslichen Druck auf diese Teams aus. Kompromisse sind nötig, sie dürfen aber nicht bei der Sicherheit ansetzen. Cyber-Angriffe sind brandgefährlich. Es steht zu viel auf dem Spiel für Unternehmen. Deswegen sollten Lösungen wie snaps nicht ignoriert werden.
Entwickler werden immer wichtiger für zahlreiche Geschäftsprozesse in Unternehmen. Darum gilt es, sie zu unterstützen und ihnen die Tools an die Hand zu geben, die sie brauchen, um ihren Job machen zu können. Unabhängig davon, ob sie für eine Desktop-, Cloud- oder IoT-Lösung entwickeln, sollten sie auf Open Source und Snaps setzen. Denn diese Kombination gewährleistet, dass Anwender die neueste Software einsetzen und Systemkonfigurationsprobleme wenig wahrscheinlich sind.
In der Konsequenz können Entwickler mehr Code schreiben und müssen weniger debuggen. Wenn Entwickler diesem Beispiel folgen, haben sie die Zeit, aber vor allem das Vertrauen, weiterhin Lösungen zu entwickeln, die so sicher wie möglich sind.
* Martin Wimpress ist Developer Advocate von Canonical, dem Unternehmen hinter Ubuntu.
(ID:47030780)
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/99/ce994c9dce9fac6c16e96a2871e6c3be/0110414706.jpeg "Nur im Zuge einer umfangreichen Security-Strategie lässt sich ein heterogenes Endpoint-Universum vor Bedrohungen zu schützen. (Bild: <a href=https://pixabay.com/users/coolvid-shows-18646168/>CoolVid-Shows</a>)")