:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/b6/e8b6693b9252e7474c62ffadbdee385c/0115564730.jpeg "Veracode möchte dazu beitragen, Sicherheitsverletzungen in Webanwendungen zu vermeiden. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/51/b7/51b7a7d69e16959c4e7dbe416c279173/0115397256.jpeg "Frank Karlitschek (2. von links) spricht als Keynote Speaker der SFSCON im NOI Techpark in Bozen. (Bild: Daniele Fiorentino)")
:quality(80)/p7i.vogel.de/wcms/fb/59/fb59f05dc4213bea05b55a5c557e5c02/0115122038.jpeg "Konfigurieren des Code-Analyse-Tools PMD in Eclipse. (Bild: Joos / Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/37/cc/37cc97b232d286b4a8d91b1588545b21/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/7e/90/7e90a1c3f6f7f92db53c0d3a7d4d290b/0114716740.jpeg "Die Verwaltung von Containern mit Kubernetes ist nicht trivial. Administratoren brauchen viel Geduld und Know-how, um beliebte Fehler bei der Verwendung von Probes sowie der Ressourcenverteilung zu vermeiden. (Bild: Ulrike Ostler)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/a7/a7/a7a7a7fb4f177ed66b19de7da5774b0c/0114537681.jpeg "IBM hat einige KI-basierte Neuheiten rund um seine IBM-Z-Plattform angekündigt. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/1b/05/1b05a6297b2a816d61ef53c5a274bff2/0115206676.jpeg "Eine Pythonschlange am Computer – okay, sie hat Hände, aber wie sollte sie auch sonst effizient tippen? (Bild: StableDiffusionXL)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3c1969a5faf8fd032f4b56ccad311/0114861996.jpeg "Full-Stack-Developer beherrschen Front-end- und Back-end-Entwicklung ebenso wie adminsitrative und analytische Tätigkeiten. (Bild: <a href=lakexyde>lakexyde</a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Sichere Anwendungsentwicklung Security – ein Bremsklotz für DevOps?
DevOps verspricht Kostenreduktion, Geschwindigkeit und Agilität, Sicherheit gilt da eher als Hindernis. Mit DevSecOps rückt Security im Software Development Lifecycle aber buchstäblich mehr in den Mittelpunkt.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/53/655336f3d99e1/logo-devops-windhoff-group.png "logo-devops-windhoff-group (https://devops.windhoff-group.de/)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Security hat für Entwicklungsteams traditionell eine eher niedrigere Priorität. Angesichts der gravierenden Zunahme an Sicherheitslücken ist dies jedoch zu einer unhaltbaren Situation geworden. Die „2017 DevSecOps Community Survey“ von Sonatype beleuchtet, wie sich die Entwickler diesem Problem stellen.
Mit der Umfrage fühlte Sonatype mehr als 2.200 IT-Profis den Puls, um deren Perspektiven hinsichtlich der Entwicklungs-und Sicherheitsprozesse in ihren Unternehmen und Organisationen einzuschätzen. Die Ergebnisse offenbaren eine größere Bereitschaft zur Security-Implementierung während des gesamten Software Development Lifecycle (SDLC). Traditionelle Wasserfall-Entwicklungsmethoden, bei denen die Sicherheit erst spät im Software-Liefer-Lebenszyklus eingebaut wird, werden durch ausgereiftere DevOps-Praktiken und Automatisierung früh und überall ersetzt.
In der Vergangenheit, als Entwickler die Bedeutung sicherer Programmierungspraktiken erkannten, erzeugte Software-Sicherheit oftmals einen negativen Beigeschmack; war diese doch oft mit Nacharbeit verbunden, die von Sicherheitsteams erst spät im Entwicklungszyklus angeordnet oder von Operations-Teams gefordert wurde, die sich mit dringenden Sanierungsanforderungen an die Entwickler wandten.
Sicherheitsprotokolle und Checkpoints behinderten deren Fähigkeit, Innovationen und damit auch die Anwendungen schneller zu liefern. Dieser Ansatz führt eindeutig zu erhöhten Risiken für die Produkte und die Unternehmen, die diese Produkte einsetzen.
Zusammenarbeit
Eines der grundlegenden Prinzipien in Bezug auf DevOps ist eine bessere und schnellere Entwicklung durch Zusammenarbeit, indem ein Unternehmen unterschiedliche, funktionsübergreifende Teams zusammenbringt. Die Idee dahinter war, dass dies zu einer größeren Agilität durch kontinuierliche Software-Entwicklung und einer schnelleren Lösung von Problemen führen würde. Eine rechtzeitige Zusammenarbeit zwischen DevOps, Sicherheits-, Audit- und Compliance-Teams findet jedoch nicht immer statt.
Unternehmen mit weniger ausgereiften DevOps-Praktiken neigen zu einem eher reaktiven Ansatz, was die DevOps-Sicherheit anbelangt. Sie arbeiten mit den Sicherheitsteams nur bei Prüfungsaufträgen oder bei auftretenden Sicherheitsverletzungen zusammen. Unsere Umfrage ergab, dass 47 Prozent der Befragten, die in Umgebungen mit wenig ausgereiften oder fehlenden DevOps-Prozessen arbeiten, den Eindruck haben, dass Security ihre Prozesse verlangsamt. Allerdings ist dieses Empfinden in Organisationen mit ausgereiften DevOps-Prozessen weit weniger ausgeprägt: in dieser Kategorie schrumpft die Anzahl auf 28 Prozent der Befragten.
Alle Teams, die am SDLC beteiligt sind, haben entscheidende Ziele: Entwickler wollen Anwendungen möglichst optimal herstellen, Operations-Profis möchten, dass die Anwendung hochverfügbar und stabil ist und Sicherheitsexperten wollen Schwachstellen und Risiken für das Unternehmen ausschalten. Unternehmen mit ausgereifteren Praktiken fördern die Zusammenarbeit zwischen diesen Teams und ermöglichen es ihnen, Software sorgfältig, kontinuierlich und schnell zu beurteilen und freizugeben.
Automatisierung
Organisationen mit ausgereiften DevOps-Praktiken erleben eine Applikationssicherheit, die die Entwicklungs- und Betriebsprozesse nicht verlangsamt, sondern diese unterstützt und ergänzt, indem sie sicherstellt, dass die Entwicklung jederzeit sicher und zuverlässig ist. Unsere Umfrage offenbarte durchweg, dass automatisierte Sicherheitspraktiken während des gesamten SDLC an Traktion gewinnen. 58 Prozent der Befragten, die ausgereiften DevOps-Praktiken anwenden, gaben an, bereits automatisierte Sicherheitstests eingeführt zu haben.
Traditionelle Entwicklungs-, Test- und Sicherheitspraktiken können Stunden bis Tage dauern, um Feedback zu liefern und sind nicht in der Lage, mit der Geschwindigkeit von DevOps-nativen Entwicklungsprozessen Schritt zu halten. Da DevOps immer ausgereifter wird, wird die Zahl der Unternehmen und Organisationen, die sich die grundlegenden Vorteile der Automatisierung zunutze machen, zweifellos weiter wachsen.
Open-Source-Risiken
Open-Source-Komponenten bilden 80 Prozent einer typischen Anwendung und der „State of the Software Supply Chain Report“ von Sonatype offenbart, dass eine von 15 Open-Source-Software-Komponenten, die zur Assemblierung moderner Anwendungen verwendet werden, mindestens eine bekannte Sicherheitslücke enthält. Diese Komponenten mögen vielleicht ein wahrer Segen für die Produktivität sein, aber es ist wichtig für Entwickler, sich einen guten Einblick in deren Qualität zu verschaffen oder andernfalls das Risiko einzugehen, unerwünschte Schwachstellen in ihre Software-Lieferketten einzuschleusen.
Unsere Umfrageergebnisse deuten darauf hin, dass Governance- und Sicherheitspraktiken rund um Open-Source-Komponenten für viele Organisationen immer noch ein gutes Stück Arbeit sind. Trotz der zunehmenden Nutzung von Open-Source-Softwarekomponenten in den vergangenen Jahren liegt der Anteil der Befragten, die angaben, ihre Organisation habe eine Open-Source-Governance-Richtlinie, seit der vorangegangenen Sonatype-Umfrage von 2014 unverändert bei 57 Prozent.
Eine wachsende Zahl von Unternehmen hat Kontrollen implementiert, über die Open-Source- und Drittanbieter-Tools verwendet werden. Jedoch wäre eine größere Annahme der automatisierten Analyse von Code erforderlich, um regelmäßige Kontrollen von Open-Source-Komponenten und benutzerdefiniertem Code zu gewährleisten.
Container-Sicherheit
Für Linux-Container gilt dasselbe. Die Verwendung von frei verfügbaren Containern in der Entwicklung ist quasi explodiert und es gibt mehr als 100.000 kostenlose Anwendungen auf Docker Hub. Leider können viele Organisationen diese Anwendungen nicht ordnungsgemäß überprüfen, bevor sie sie in ihre DevOps-Toolchains und -Infrastrukturen einbinden und so möglicherweise Schwachstellen in ihre Software-Lieferketten einschleppen.
Tatsächlich sorgen Container bei den DevSecOps-Teams für die ein oder andere schlaflose Nacht. In unserer Umfrage konnten wir feststellen, dass eine große Mehrheit der Befragten - mehr als 88 Prozent - entweder „absolut“ oder „in gewisser Weise“ der Meinung war, dass die Container-Sicherheit zu den wichtigsten Anliegen zählt. Einige dieser Teams haben Schritte unternommen, um diese Sorgen etwas abzufedern. 53 Prozent der Befragten erklärten, dass sie „Sicherheitsprodukte nutzen, um gefährdete Anwendungen, Betriebssysteme und Konfigurationen in Containern zu identifizieren“.
Verhinderung von Sicherheitslücken
Schließlich bestätigte unsere Umfrage, was jeder Software-Entwickler, Security-Manager und Versuchsprofi bereits sicher weiß: Sicherheitslücken sind auf dem Vormarsch. Viele davon beruhen auf Schwachstellen innerhalb der Software. Ein Fünftel der Befragten der Umfrage gab an, ihre Organisation habe eine Sicherheitslücke innerhalb der letzten 12 Monate gehabt, die einer Schwachstelle in einer Open-Source-Komponente oder -Abhängigkeit zugeschrieben werden kann. Das ist ein deutlicher Anstieg gegenüber den 14 Prozent im Jahr 2014. Die gleiche Anteil der Befragten hatte oder vermutet eine Sicherheitslücke innerhalb einer Webanwendung im zurückliegenden Zeitraum eines Jahres.
Während diese Erkenntnisse mit einem Anstieg der Nutzung von Open-Source-Komponenten einhergehen, sind sie auch ein Anzeichen für eine erhöhte Zahl von Angriffen. Hacker haben sich sehr bemüht, bekannte Schwachstellen in Open-Source-Komponenten (z. B. OpenSSL, Struts2, Commons Collection) zu verwenden, um diese Angriffe auszuführen.
Die Lösung zur Bekämpfung dieser Bedrohungen ist die Umsetzung einer Open-Source-Governance-Praxis innerhalb des DevOps-Entwicklungszyklus, also die Einführung eines Prozesses, der es Entwicklern, Versuchsfachleuten und Security-Managern ermöglicht, den Fluss von Open-Source-Komponenten in jeder Phase der Software Supply Chain automatisch zu verwalten. Dieser Prozess kann dazu verwendet werden, gute Komponenten von schlechten zu trennen und Letztere insgesamt aus der Software Supply Chain auszuschließen. Er kann dazu beitragen, die Qualität der produzierten Anwendungen zu verbessern, die angreifbaren Sicherheitslöcher zu reduzieren und die Verwendung von Komponenten mit riskanten Lizenztypen zu eliminieren.
Vom Bremsklotz zum Wegbereiter
Ursprünglich gab es immer einen Kompromiss, bei dem die Organisationen bestenfalls zwei der drei Ziele hinsichtlich Kosten, Geschwindigkeit und Agilität erreichen konnten. Zum Beispiel konnten sie Geschwindigkeit und Qualität haben, aber nur zu sehr hohen Kosten.
Inzwischen reicht das nicht mehr. Wie unsere Umfrage gezeigt hat, schöpfen Organisationen mit ausgereiften DevOps-Praktiken alle drei Vorteile aus, und diejenigen, die auf dem Weg sind, ihren DevOps-Betrieb auszubauen, werden sich bald anschließen. Dies ist das Ergebnis einer von Beginn an nahtlosen Integration von Anwendungssicherheits-Tools in DevOps-Prozesse, um sicherzustellen, dass Sicherheit früh und überall beginnt – von der Auswahl und Sicherheitsüberprüfung von Open-Source-Komponenten bis hin zur Wartung und Verwaltung von Containern und weiter, bis eine Anwendung vollständig implementiert ist.
Sicherheit muss nicht mehr als Hemmschuh für DevOps gesehen werden. Stattdessen ist sie ein Wegbereiter für eine höhere Qualität und eine beschleunigte Software-Entwicklung.
* Derek Weeks ist Vizepräsident bei Sonatype, einem Anbieter von DevOps-nativen Tools, um moderne Software Supply Chains zu automatisieren.
(ID:44768570)
:quality(80)/p7i.vogel.de/wcms/65/55/6555f3aaa1b449fb49aadc0286502936/0112828775.jpeg "Wenn die Sicherungen an der falschen Stelle in der Softwarekette angebracht sind, helfen sie nichts. Das Tool „JFrog Curtion“ soll automatisiert bösartige Open-Source-Pakete erkenen und Schwachstellen analysieren können. (Bild: frei lizenziert: TheOtherKev)")
:quality(80)/p7i.vogel.de/wcms/bd/84/bd84a42749a528eaa94f513429d8f9f0/0110156993.jpeg "Links auf der Überholspur: Shift-Left-Testing macht effiziente DevSecOps-Workflows erst überhaupt möglich. Hier durchdringt kontinuierliches Testen die kontinuierliche Entwicklung (Dev), Sicherheit (Sec) und Bereitstellung (Ops). (Bild: <a href=https://www.pexels.com/de-de/@taras-makarenko-188506/>Taras Makarenko</a>)")