:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/e8/b6/e8b6693b9252e7474c62ffadbdee385c/0115564730.jpeg "Veracode möchte dazu beitragen, Sicherheitsverletzungen in Webanwendungen zu vermeiden. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/51/b7/51b7a7d69e16959c4e7dbe416c279173/0115397256.jpeg "Frank Karlitschek (2. von links) spricht als Keynote Speaker der SFSCON im NOI Techpark in Bozen. (Bild: Daniele Fiorentino)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/37/cc/37cc97b232d286b4a8d91b1588545b21/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/7e/90/7e90a1c3f6f7f92db53c0d3a7d4d290b/0114716740.jpeg "Die Verwaltung von Containern mit Kubernetes ist nicht trivial. Administratoren brauchen viel Geduld und Know-how, um beliebte Fehler bei der Verwendung von Probes sowie der Ressourcenverteilung zu vermeiden. (Bild: Ulrike Ostler)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/fb/59/fb59f05dc4213bea05b55a5c557e5c02/0115122038.jpeg "Konfigurieren des Code-Analyse-Tools PMD in Eclipse. (Bild: Joos / Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/a7/a7/a7a7a7fb4f177ed66b19de7da5774b0c/0114537681.jpeg "IBM hat einige KI-basierte Neuheiten rund um seine IBM-Z-Plattform angekündigt. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/f1/8a/f18a4e8a90cedb82ec157f48150c97c5/0115353158.jpeg "Der Kontrol Hub soll sicherstellen, dass die Funktionen Software-definierter Fahrzeuge immer den aktuellen regulatorischen Vorgaben entsprechen. (Bild: <a href=https://pixabay.com/users/ken19991210-333782/>ken19991210</a>)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
IT-Security Management & Technology Conference 2017 Security in agile Software-Projekte integrieren
Agile Projekte liefern in Verbindung mit DevOps in der Regel schnell und häufig neue Releases aus. Jedoch kann bei einer hohen Rolloutfrequenz nicht jedes einzelne Release einen eigenen umfangreichen Penetrationstest erhalten, ohne dass Security als Bottleneck den Vorteil zügiger Rollouts wieder zunichtemachen würde. Um dennoch mit einem guten Gewissen agil live gehen zu können, bedarf es anderer Lösungen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/53/655336f3d99e1/logo-devops-windhoff-group.png "logo-devops-windhoff-group (https://devops.windhoff-group.de/)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Schon bevor ein neues Projekt umgesetzt wird, sollte in den agilen Teams ein entsprechendes Security-Verständnis installiert werden, um Sicherheitslücken so früh wie möglich zu vermeiden. Das beginnt mit der Erstellung von Security Guidelines für Entwickler, passend zugeschnitten auf die von ihnen konkret eingesetzten Frameworks.
Daneben sollte auch über das Einführen von Werkzeugen zur automatischen Überprüfung des Quellcodes und der testbaren Anwendungsteile nachgedacht werden. Hierdurch können agil arbeitende Teams laufend unterstützt werden, da bestimmte Security-Prüfungen teil- bzw. vollautomatisiert im Hintergrund stattfinden.
Kategorisierung von Security-Werkzeugen
Grob gesehen unterteilen sich die verfügbaren Security-Werkzeuge in die folgenden Kategorien:
DAST (Dynamic Application Security Testing):DAST-Werkzeuge betrachten die zu prüfende Webanwendung aus Sicht eines Angreifers von außen, also als Black-Box. Je nach Konfigurationsmöglichkeiten des Werkzeugs können auch vollautomatisierte Tests im eingeloggten Bereich der Webanwendungen durchgeführt werden. Im Falle von komplexen Webanwendungen können jedoch die Anpassungsaufwände des Werkzeugs nicht unerheblich sein, insbesondere wenn fachlich zu füllende Dialogstrecken abzubilden sind, bei denen der Crawler an seine Grenzen stößt. Prominente Open-Source DAST-Werkzeuge sind z. B. OWASP ZAP sowie der Arachni Scanner.
SAST (Static Application Security Testing): SAST-Werkzeuge scannen den Quellcode oder Bytecode der Anwendung auf Sicherheitslücken. Einfachere SAST-Werkzeuge betrachten nur die Sinks, also die potenziell unsicheren Stellen, ohne eine Verbindung von potenziell manipulierbaren Daten herzustellen. Professionellere SAST-Werkzeuge prüfen hingegen diese Verbindung und können damit genauere Aussagen zur tatsächlichen Ausnutzbarkeit treffen. Im Vergleich zu DAST-Werkzeugen haben SAST-Werkzeuge einen höheren Abdeckungsgrad der Anwendung, weil der gesamte Quell- oder Bytecode gescannt werden kann. Andererseits führen DAST-Werkzeuge im Vergleich zu SAST-Werkzeugen teilweise auch andere Kategorien von Prüfungen durch, so dass der Einsatz beider Werkzeugkategorien empfohlen wird. Zusätzlich zu kommerziellen SAST-Werkzeugen existieren im Open-Source-Bereich z. B. das FindBugs-Plugin Find Security Bugs oder auch erweiterte Sonar-Regeln für Java-Anwendungen. Für JavaScript kann das in ESLint aufgehende ScanJS verwendet werden. Weiterhin gibt es Brakeman für Ruby-on-Rails-Anwendungen. Ebenfalls existieren Werkzeuge zur Prüfung der Abhängigkeiten einer Anwendung, um das Risiko durch veraltete und unsichere Bibliotheken zu reduzieren. Diese gleichen die Listen bekannter verwundbarer Komponenten (z.B. CVE-Listen) gegen die verwendeten Bibliotheken ab. Als Open-Source-Lösungen, die im Rahmen des Builds eingesetzt werden können, existieren hier OWASP Dependency Check für Java-Abhängigkeiten sowie Retire.js zur Prüfung der eingebundenen JavaScript-Bibliotheken.
IAST (Interactive Application Security Testing): Diese im Vergleich jüngere Kategorie kann als dynamische Codeanalyse betrachtet werden: Hierbei wird mittels Instrumentierung einer Testumgebung die Anwendung zur Laufzeit quasi einer White-Box-Analyse unterzogen. Bemerkenswert bei manchen IAST-Werkzeugen ist, dass die Sicherheitsüberprüfung parallel zur fachlich getriebenen Benutzung der Anwendung stattfinden kann, was die Integration in die vorhandenen Testprozesse einfacher gestaltet. Andere IAST-Werkzeuge setzen hingegen auf eigene UI-Testtreiber, die das Crawler-Problem mit entsprechenden Anpassungsaufwänden mitbringen. Leider sind in diesem Bereich Open-Source-Lösungen noch nicht ausgereift vorhanden, so dass hierzu ausschließlich auf kommerzielle Werkzeuge zurückgegriffen wird. Im Gegensatz dazu existieren bei DAST und SAST empfehlenswerte Open-Source-Produkte.
Roadmap für eine Einführung: Security DevOps Maturity Model
Um Projekten eine gute Möglichkeit zu bieten, den eigenen Standpunkt hinsichtlich der Einführung automatisierter Sicherheitschecks zu evaluieren und davon abgeleitet mögliche nächste Schritte zur Verbesserung zu definieren, kann das „Security DevOps Maturity Model“ (SDOMM) herangezogen werden.
Dieses Modell beschreibt die vier Achsen „Dynamische Tiefe“, „Statische Tiefe“, „Intensität“ sowie „Konsolidierung“, in je vier Ausprägungsstufen. Die Achse der „Intensität“ widmet sich der Härte der Sicherheitschecks. Die Achse der „Konsolidierung“ versucht, den Feedback-Loop in Richtung Entwicklung zu schließen und eine ganzheitliche Prozessintegration zu ermöglichen. Um etwaige Einstiegshürden zur Einführung von Security DevOps für Projekte gering zu halten, zeigt das Modell mögliche Integrationen anhand von Open-Source Werkzeugen auf. Kommerzielle Lösungen in den einzelnen Bereichen der dynamischen und statischen Analysen sind ebenfalls sinnvoll und können in dem Modell gleichermaßen Einsatz finden. Die einzelnen Schritte je Achse müssen nicht zwingend in der Reihenfolge aus dem Modell durchlaufen werden – vielmehr sind diese Schritte anhand des zu erwartenden Umsetzungsaufwandes für ein Projekt geschnitten, so dass selbst Projekte ohne „Security DevOps“-Integration, erste leicht erreichbare Ziele vorfinden.
Wenn Security-Werkzeuge im Rahmen von Continuous Integration (CI) eingesetzt werden, muss vorab geklärt werden, wie mit Findings umgegangen werden soll. Vor allem in der Einführungsphase wird geraten, nur zuverlässige Findings auszugeben - also Findings, welches das Werkzeug mit hoher Treffersicherheit bewertet hat. Andernfalls müsste jedes Finding von Sicherheitsexperten begutachtet und bewertet werden, erst dann kann eingeschätzt werden, ob tatsächlich eine Schwachstelle vorliegt und dafür ein Ticket eingestellt werden soll. Dies stünde dann im Widerspruch zu einer vollautomatischen Prüfung durch ein Werkzeug im Rahmen der Build-Kette.
Security-Rolle in agilen Teams
Um die Einführung von Security-Werkzeugen durchgängig auch in agilen Teams zu ermöglichen, bietet sich die Etablierung einer neuen Rolle an, welche im agilen Team speziell in der Anwendung der eingeführten Security-Werkzeuge geschult wird. Ein weiterer Vorteil dieser bzgl. Security umfangreicher geschulten Teammitglieder ist, dass diese den Kontakt zur IT-Sicherheitsabteilung halten können und als Ansprechpartner im Team dienen. Langfristig kann diese Rolle auch aus Security-Sicht auf Architekturentscheidungen im agilen Team von innen positiv einwirken. Hierdurch bleibt der agile Ansatz der Eigenverantwortung und Flexibilität der Teams weitestgehend aufrechterhalten, während durch die neue Security-Rolle innerhalb der Teams nicht auf einen übergreifend hohen Sicherheitsstandard in der Entwicklung verzichtet werden muss.
Bei der Integration von Security in agilen Teams können auch externe Security-Coaches zeitweise in den Teams mitarbeiten und dort das nötige Security-Wissen bei den für die neue Rolle vorgesehenen Teammitgliedern on the Job aufbauen.
Über den Autor
Christian Schneider ist als freiberuflicher Softwareentwickler, White-Hat Hacker und Trainer tätig. Er unterstützt Kunden im Bereich der Web Security durch Penetrationstests und „Security Architecture Consulting“ sowie bei der Einführung von „Security DevOps“ innerhalb von agilen Entwicklungsprojekten. In dieser Rolle ist er regelmäßig als Trainer tätig. Während der IT-Security Management & Technology Conference 2017 hält er in Köln, Hanau und Hamburg, eine Keynote zum Thema „Schlimmer geht immer: Eine Auswahl der Top-Hacks der letzten Jahre“, sowie einen Roundtable zum Thema „Integration von Security in agilen Projekten“.
(ID:44682269)
:quality(80)/p7i.vogel.de/wcms/dc/e1/dce1c2250d49f0b6068cfd98483a94ae/0109808486.jpeg "Auf dem Radar: Frost&Sullivan untersucht Cloud Native Application Protection Platforms (CNAPP). (Bild: frei lizenziert: OpenClipart-Vectors)")
:quality(80)/p7i.vogel.de/wcms/a4/e6/a4e68543e9aced538fb95221e6fb4506/0114554253.jpeg "DevSecOps-Strategien sind weit verbreitet, doch die Sicherheitsprozesse selbst können DevOps ausbremsen. (© Murrstock - stock.adobe.com)")