:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453e9510c0b5ec232436c67b757ec4c/0109343935.jpeg "Die Nonce sorgt für Ordnung innerhalb einer Blockkette, lässt sich aber auch aktiv für sicherheitsrelevante Aktivitäten nutzen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/04/68/04689667589ad630b19fe77b9a7babc7/0109404868.jpeg "Mit Effekten von Motion-UI kann jedes Unternehmen seine Produktbereitstellungsquoten schnell verbessern. (Bild: <a href=https://github.com/foundation/motion-ui>Foundation CSS auf GitHub</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/14/c614e97ce76ae02ed694f2660dee3efc/0110374544.jpeg "WebGoat ist eine bewusst unsicher konzipierte Docker-Anwendung. (Bild: © – anttoniart – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/12/b4126a87dc658d03d79de40f241b3738/0110245419.jpeg "Beim „Green Coding“ geht es darum, Software möglichst energieeffizient und damit nachhaltig zu programmieren. (Bild: © – ArtemisDiana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/e7/0fe7f900a0b01f30902f3c7209857b5e/0110554825.jpeg "Jörg Noack, Consol: „DevOps ist nichts, was Unternehmen allgemein und Entwickler-Teams speziell ‚on the run‘ umsetzen können.“ (Bild: Consol)")
:quality(80)/p7i.vogel.de/wcms/06/8b/068b715609066fc32136cb84cba7787e/0110333503.jpeg "Die Architektur der Microsoft AKS Edge Essentials. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/7f/47/7f47414337bafb5fa6a0cac40dce6101/0109278962.jpeg "Die Möglichkeiten von Sysbox im Überblick. (Bild: <a href=https://github.com/nestybox/sysbox/tree/master/docs/figures>Nestybox via GitHub</a>)")
:quality(80)/p7i.vogel.de/wcms/92/74/9274f298d0379fd1f70425c82054160b/0110295392.jpeg "In der echten Welt sind Container solide Storage-Einheiten. In der IT benötigen Container zusätzlichen Storage, da sie selbst nur flüchtige Software-Einheiten darstellen. (Bild: Achim Banck - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/28/b1280f3563f48b0d3f49ec4c0f5c116c/0109915179.jpeg "Pure Storage sorgt mit dem Observability and Monitoring Service für optimierte Transparenz in IT-Umgebungen. (Bild: Pure Storage)")
:quality(80)/p7i.vogel.de/wcms/79/e6/79e65075f5eca3f177c438b5d5778240/0109951044.jpeg "Die fehlende Kommunikation ist mittlerweile kein ernsthaftes Gegenargument mehr für eine Outsourcing-Strategie. (Bild: <a href=https://www.pexels.com/@thisisengineering/>ThisIsEngineering</a>)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/16/04/160481e1af171c4e5f385bf8eb9eb6ae/0110498754.jpeg "Oracle stellt in Zusammenarbeit mit der OpenJDK-Community alle sechs Monate eine neue Version des Oracle Java Development Kit bereit. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351a0c0c6dad9d13c882bd69ee6ca42/0110012670.jpeg "Modelldatei zur Repräsentation des Schemas. (Bild: Krypzcyk & Bochkor / DbSchema)")
:quality(80)/p7i.vogel.de/wcms/b4/a6/b4a61bbbfe9a9cf25c84765622ea0158/0110026310.jpeg "Tabnine kann Code mithilfe von Anweisungen in menschlicher Sprache generieren und vervollständigen. (Bild: <a href=https://www.tabnine.com/>Tabnine</a>)")
:quality(80)/p7i.vogel.de/wcms/8c/69/8c69011ea441f70be8b619b91f24d294/0110241904.jpeg "Einstein GPT ist laut Salesforce die erste generative KI für CRM. (Bild: Salesforce)")
:quality(80)/p7i.vogel.de/wcms/64/91/6491be5132b77668c299ce6e466ca14c/0109296609.jpeg "Microcontroller-Boards gibt es zuhauf, wir stellen einige Arduino-Alternativen vor. (Bild: <a href=https://pixabay.com/users/aakelner-9429309/>Alexander Kelner</a>)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
IT-Security Management & Technology Conference 2017 Security in agile Software-Projekte integrieren
Agile Projekte liefern in Verbindung mit DevOps in der Regel schnell und häufig neue Releases aus. Jedoch kann bei einer hohen Rolloutfrequenz nicht jedes einzelne Release einen eigenen umfangreichen Penetrationstest erhalten, ohne dass Security als Bottleneck den Vorteil zügiger Rollouts wieder zunichtemachen würde. Um dennoch mit einem guten Gewissen agil live gehen zu können, bedarf es anderer Lösungen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
Schon bevor ein neues Projekt umgesetzt wird, sollte in den agilen Teams ein entsprechendes Security-Verständnis installiert werden, um Sicherheitslücken so früh wie möglich zu vermeiden. Das beginnt mit der Erstellung von Security Guidelines für Entwickler, passend zugeschnitten auf die von ihnen konkret eingesetzten Frameworks.
Daneben sollte auch über das Einführen von Werkzeugen zur automatischen Überprüfung des Quellcodes und der testbaren Anwendungsteile nachgedacht werden. Hierdurch können agil arbeitende Teams laufend unterstützt werden, da bestimmte Security-Prüfungen teil- bzw. vollautomatisiert im Hintergrund stattfinden.
Kategorisierung von Security-Werkzeugen
Grob gesehen unterteilen sich die verfügbaren Security-Werkzeuge in die folgenden Kategorien:
DAST (Dynamic Application Security Testing):DAST-Werkzeuge betrachten die zu prüfende Webanwendung aus Sicht eines Angreifers von außen, also als Black-Box. Je nach Konfigurationsmöglichkeiten des Werkzeugs können auch vollautomatisierte Tests im eingeloggten Bereich der Webanwendungen durchgeführt werden. Im Falle von komplexen Webanwendungen können jedoch die Anpassungsaufwände des Werkzeugs nicht unerheblich sein, insbesondere wenn fachlich zu füllende Dialogstrecken abzubilden sind, bei denen der Crawler an seine Grenzen stößt. Prominente Open-Source DAST-Werkzeuge sind z. B. OWASP ZAP sowie der Arachni Scanner.
SAST (Static Application Security Testing): SAST-Werkzeuge scannen den Quellcode oder Bytecode der Anwendung auf Sicherheitslücken. Einfachere SAST-Werkzeuge betrachten nur die Sinks, also die potenziell unsicheren Stellen, ohne eine Verbindung von potenziell manipulierbaren Daten herzustellen. Professionellere SAST-Werkzeuge prüfen hingegen diese Verbindung und können damit genauere Aussagen zur tatsächlichen Ausnutzbarkeit treffen. Im Vergleich zu DAST-Werkzeugen haben SAST-Werkzeuge einen höheren Abdeckungsgrad der Anwendung, weil der gesamte Quell- oder Bytecode gescannt werden kann. Andererseits führen DAST-Werkzeuge im Vergleich zu SAST-Werkzeugen teilweise auch andere Kategorien von Prüfungen durch, so dass der Einsatz beider Werkzeugkategorien empfohlen wird. Zusätzlich zu kommerziellen SAST-Werkzeugen existieren im Open-Source-Bereich z. B. das FindBugs-Plugin Find Security Bugs oder auch erweiterte Sonar-Regeln für Java-Anwendungen. Für JavaScript kann das in ESLint aufgehende ScanJS verwendet werden. Weiterhin gibt es Brakeman für Ruby-on-Rails-Anwendungen. Ebenfalls existieren Werkzeuge zur Prüfung der Abhängigkeiten einer Anwendung, um das Risiko durch veraltete und unsichere Bibliotheken zu reduzieren. Diese gleichen die Listen bekannter verwundbarer Komponenten (z.B. CVE-Listen) gegen die verwendeten Bibliotheken ab. Als Open-Source-Lösungen, die im Rahmen des Builds eingesetzt werden können, existieren hier OWASP Dependency Check für Java-Abhängigkeiten sowie Retire.js zur Prüfung der eingebundenen JavaScript-Bibliotheken.
IAST (Interactive Application Security Testing): Diese im Vergleich jüngere Kategorie kann als dynamische Codeanalyse betrachtet werden: Hierbei wird mittels Instrumentierung einer Testumgebung die Anwendung zur Laufzeit quasi einer White-Box-Analyse unterzogen. Bemerkenswert bei manchen IAST-Werkzeugen ist, dass die Sicherheitsüberprüfung parallel zur fachlich getriebenen Benutzung der Anwendung stattfinden kann, was die Integration in die vorhandenen Testprozesse einfacher gestaltet. Andere IAST-Werkzeuge setzen hingegen auf eigene UI-Testtreiber, die das Crawler-Problem mit entsprechenden Anpassungsaufwänden mitbringen. Leider sind in diesem Bereich Open-Source-Lösungen noch nicht ausgereift vorhanden, so dass hierzu ausschließlich auf kommerzielle Werkzeuge zurückgegriffen wird. Im Gegensatz dazu existieren bei DAST und SAST empfehlenswerte Open-Source-Produkte.
Roadmap für eine Einführung: Security DevOps Maturity Model
Um Projekten eine gute Möglichkeit zu bieten, den eigenen Standpunkt hinsichtlich der Einführung automatisierter Sicherheitschecks zu evaluieren und davon abgeleitet mögliche nächste Schritte zur Verbesserung zu definieren, kann das „Security DevOps Maturity Model“ (SDOMM) herangezogen werden.
Dieses Modell beschreibt die vier Achsen „Dynamische Tiefe“, „Statische Tiefe“, „Intensität“ sowie „Konsolidierung“, in je vier Ausprägungsstufen. Die Achse der „Intensität“ widmet sich der Härte der Sicherheitschecks. Die Achse der „Konsolidierung“ versucht, den Feedback-Loop in Richtung Entwicklung zu schließen und eine ganzheitliche Prozessintegration zu ermöglichen. Um etwaige Einstiegshürden zur Einführung von Security DevOps für Projekte gering zu halten, zeigt das Modell mögliche Integrationen anhand von Open-Source Werkzeugen auf. Kommerzielle Lösungen in den einzelnen Bereichen der dynamischen und statischen Analysen sind ebenfalls sinnvoll und können in dem Modell gleichermaßen Einsatz finden. Die einzelnen Schritte je Achse müssen nicht zwingend in der Reihenfolge aus dem Modell durchlaufen werden – vielmehr sind diese Schritte anhand des zu erwartenden Umsetzungsaufwandes für ein Projekt geschnitten, so dass selbst Projekte ohne „Security DevOps“-Integration, erste leicht erreichbare Ziele vorfinden.
Wenn Security-Werkzeuge im Rahmen von Continuous Integration (CI) eingesetzt werden, muss vorab geklärt werden, wie mit Findings umgegangen werden soll. Vor allem in der Einführungsphase wird geraten, nur zuverlässige Findings auszugeben - also Findings, welches das Werkzeug mit hoher Treffersicherheit bewertet hat. Andernfalls müsste jedes Finding von Sicherheitsexperten begutachtet und bewertet werden, erst dann kann eingeschätzt werden, ob tatsächlich eine Schwachstelle vorliegt und dafür ein Ticket eingestellt werden soll. Dies stünde dann im Widerspruch zu einer vollautomatischen Prüfung durch ein Werkzeug im Rahmen der Build-Kette.
Security-Rolle in agilen Teams
Um die Einführung von Security-Werkzeugen durchgängig auch in agilen Teams zu ermöglichen, bietet sich die Etablierung einer neuen Rolle an, welche im agilen Team speziell in der Anwendung der eingeführten Security-Werkzeuge geschult wird. Ein weiterer Vorteil dieser bzgl. Security umfangreicher geschulten Teammitglieder ist, dass diese den Kontakt zur IT-Sicherheitsabteilung halten können und als Ansprechpartner im Team dienen. Langfristig kann diese Rolle auch aus Security-Sicht auf Architekturentscheidungen im agilen Team von innen positiv einwirken. Hierdurch bleibt der agile Ansatz der Eigenverantwortung und Flexibilität der Teams weitestgehend aufrechterhalten, während durch die neue Security-Rolle innerhalb der Teams nicht auf einen übergreifend hohen Sicherheitsstandard in der Entwicklung verzichtet werden muss.
Bei der Integration von Security in agilen Teams können auch externe Security-Coaches zeitweise in den Teams mitarbeiten und dort das nötige Security-Wissen bei den für die neue Rolle vorgesehenen Teammitgliedern on the Job aufbauen.
Über den Autor
Christian Schneider ist als freiberuflicher Softwareentwickler, White-Hat Hacker und Trainer tätig. Er unterstützt Kunden im Bereich der Web Security durch Penetrationstests und „Security Architecture Consulting“ sowie bei der Einführung von „Security DevOps“ innerhalb von agilen Entwicklungsprojekten. In dieser Rolle ist er regelmäßig als Trainer tätig. Während der IT-Security Management & Technology Conference 2017 hält er in Köln, Hanau und Hamburg, eine Keynote zum Thema „Schlimmer geht immer: Eine Auswahl der Top-Hacks der letzten Jahre“, sowie einen Roundtable zum Thema „Integration von Security in agilen Projekten“.
(ID:44682269)
:quality(80)/images.vogel.de/vogelonline/bdb/1931800/1931805/original.jpg "Je besser Security und DevOps verzahnt sind, desto schneller können Features bereitgestellt werden. (Alex – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1896600/1896690/original.jpg "Wenn es um die Sicherheit der eigenen Apps geht, sind Unternehmen sparsam. (Wellnhofer Designs - stock.adobe.com)")