:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/b6/e8b6693b9252e7474c62ffadbdee385c/0115564730.jpeg "Veracode möchte dazu beitragen, Sicherheitsverletzungen in Webanwendungen zu vermeiden. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/51/b7/51b7a7d69e16959c4e7dbe416c279173/0115397256.jpeg "Frank Karlitschek (2. von links) spricht als Keynote Speaker der SFSCON im NOI Techpark in Bozen. (Bild: Daniele Fiorentino)")
:quality(80)/p7i.vogel.de/wcms/fb/59/fb59f05dc4213bea05b55a5c557e5c02/0115122038.jpeg "Konfigurieren des Code-Analyse-Tools PMD in Eclipse. (Bild: Joos / Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/37/cc/37cc97b232d286b4a8d91b1588545b21/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/7e/90/7e90a1c3f6f7f92db53c0d3a7d4d290b/0114716740.jpeg "Die Verwaltung von Containern mit Kubernetes ist nicht trivial. Administratoren brauchen viel Geduld und Know-how, um beliebte Fehler bei der Verwendung von Probes sowie der Ressourcenverteilung zu vermeiden. (Bild: Ulrike Ostler)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/a7/a7/a7a7a7fb4f177ed66b19de7da5774b0c/0114537681.jpeg "IBM hat einige KI-basierte Neuheiten rund um seine IBM-Z-Plattform angekündigt. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/1b/05/1b05a6297b2a816d61ef53c5a274bff2/0115206676.jpeg "Eine Pythonschlange am Computer – okay, sie hat Hände, aber wie sollte sie auch sonst effizient tippen? (Bild: StableDiffusionXL)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3c1969a5faf8fd032f4b56ccad311/0114861996.jpeg "Full-Stack-Developer beherrschen Front-end- und Back-end-Entwicklung ebenso wie adminsitrative und analytische Tätigkeiten. (Bild: <a href=lakexyde>lakexyde</a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Building Security In Maturity Model 12 Security Best Practices in der Software-Entwicklung
Wie reell ist die Gefahr von Sicherheitsvorfällen und von Unterbrechungen der Software-Lieferkette? Im „Building Security In Maturity Model“- oder kurz BSIMM-Report listet Synopsys wichtige Software-Sicherheitspraktiken von Unternehmen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
Das 2008 initiierte Building Security In Maturity Model (BSIMM) ist ein Tool zur Erstellung, Analyse und Bewertung von Software-Sicherheitsinitiativen. Die als BSIMM12 bezeichnet 12. Auflage untersucht die Softwaresicherheitspraktiken von 128 Unternehmen aus unterschiedlichen Branchen. Fast 3.000 Mitglieder aus Softwaresicherheits-Teams und über 6.000 sogenannte „Satellite Members“ tragen mit ihrer Erfahrung dazu bei.
Die jüngsten Daten zeigen, dass Identifizierung und Open-Source-Management seitens der Software-Security-Teams in den letzten beiden Jahren um 61 Prozent gestiegen sind. „Mit ziemlicher Sicherheit“ lässt sich das laut Synopsys auf die Verbreitung von Open-Source-Komponenten in moderner Software und eine wachsende Zahl von Angriffen zurückführen, die populäre Open-Source-Projekte als Vektor nutzen.
Die Studie verzeichnet zudem einen signifikanten Anstieg von Sicherheitsbemühungen hinsichtlich Cloud-Plattformen und Container-Technologien. Dies wiederum sei ein deutlicher Indikator für die dramatischen Auswirkungen dieser Technologien auf die Software-Sicherheitskonzepte der Unternehmen. So lässt sich bei der „Nutzung von Orchestrierung für Container und virtualisierte Umgebungen“ innerhalb der letzten beiden Jahre ein Anstieg um 560 Prozent beobachten.
Laut der in BSIMM erhobenen Daten hat sich die Rolle der mit Softwaresicherheit befassten Gruppen verändert: von der Vorgabe geeigneter Verhaltensregeln hin zu einer partnerschaftlichen Zusammenarbeit. Es werden Ressourcen, Personal und Wissen für DevOps-Praktiken geteilt. Ziel ist es, Sicherheit in den kritischen Pfad der Softwarebereitstellung mit einzubeziehen.
Gleichzeitig nutzen die Firmen zusätzliche Möglichkeiten, beispielsweise die Inventarisierung von Software und das Erstellen von Software-Stücklisten (SBOM). Die automatisierte Erkennung von Assets und die Erstellung von Stücklisten derartige Aktivitäten mit ein. Dazu zählt auch die Verwendung von Containern, um Sicherheitskontrollen zu verstärken, Orchestrierung zu erlauben sowie das Scannen von Infrastructure as Code.
Orientierung an führenden Unternehmen
Basierend auf den BSIMM12-Daten empfiehlt Synopsys einige zentrale Maßnahmen. Diese eigneten sich sowohl Unternehmen, die aktuell eine Software-Sicherheitsinitiative entwickeln, als auch für jene, die bereits ein Software-Sicherheitsprogramm pflegen:
- Wann immer möglich, Telemetrie für Sicherheitstests verwenden, um Daten zu sammeln, z. B. welche Tests wurden durchgeführt und welche Probleme dabei festgestellt, um Verbesserungen im Softwareentwicklungslebenszyklus oder bei den Governance-Prozessen voranzutreiben.
- Setzen Sie auf die Automatisierung von Sicherheitsentscheidungen mit dem letztendlichen Ziel einer überprüfbaren Governance-as-Code. Governance-as-Code verlagert Sicherheitspraktiken und die Einhaltung von Compliance weg von einem manuellen Ansatz hin zu einem konsistenten, effizienten und wiederholbaren automatisierten Ansatz.
- Ein umfassendes Softwareinventar erstellen (einschließlich einer „Software-Stückliste“ oder BOM) sämtlicher Assets. Diese Liste sollte sowohl intern erstellten Code als auch Open-Source- und Drittanbieter-Code mit einbeziehen.
- Fokussierte, schrittweise Sicherheitsaktivitäten im gesamten SDLC implementieren, statt umfangreicher, zäher Pass/Fail-Gates, die den Fortschritt der Pipeline zwangsläufig verzögern.
- Automatisierte Sicherheitstools einsetzen, die Fehler, Schwachstellen und bösartigen Code in unternehmenskritischer Software identifizieren und beheben, unabhängig davon, ob es sich um intern entwickelte Software, kommerzielle Software von Drittanabietern oder Open Source handelt.
(ID:47685384)
:quality(80)/p7i.vogel.de/wcms/ca/55/ca5573d3948d96015ada13227ee06872/0112429602.jpeg "Das Secure Software Development Framework v1.1 besteht aus 42 sogenannten Tasks, die sich auf 19 praktische Empfehlungen verteilen. (Bild: <a href=https://pixabay.com/users/thedigitalartist-202249/>Pete Linforth</a>)")
:quality(80)/p7i.vogel.de/wcms/65/55/6555f3aaa1b449fb49aadc0286502936/0112828775.jpeg "Wenn die Sicherungen an der falschen Stelle in der Softwarekette angebracht sind, helfen sie nichts. Das Tool „JFrog Curtion“ soll automatisiert bösartige Open-Source-Pakete erkenen und Schwachstellen analysieren können. (Bild: frei lizenziert: TheOtherKev)")