:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/6e/a8/6ea8547b0fb110921fb8b4b40e9c7eb9/0114132511.jpeg "Eine simple Slideshow samt Vollbildmodus? Kein Problem für Bard und GPT-4. (Bild: Rentrop)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/02/ca/02caa38db6be1bcce330d6bb35d8742e/0114195179.jpeg "Langeweile lassen Developer nicht lange auf sich sitzen, der Arbeitgeber ist schnell gewechselt. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/20/a8/20a8a156f7da6e4f19c9243209dae51b/0113707453.jpeg "Die Zahl der Jenkins-Pipelines legte zwischen Juni 2021 und Juni 2023 deutlich zu. (Bild: Jenkins.io)")
:quality(80)/p7i.vogel.de/wcms/dd/64/dd64a3e1d07ca90d00b83de559c2512d/0113887944.jpeg "„Edge-Computing ist kein bestimmter Ort oder Gerätetyp, sondern eher ein Kontinuum von Standorten, die vom zentralisierten Cloud-Computing entfernt sind“, so Autor Sebastian Scheele. Trotzdem eignen sich Cloud-Native-Technologien, insbesondere Kubernetes, um an der Edge Computing zu betreiben. (Bild: frei lizenziert: distelAPPArath)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/66/fa667ce27d791e4d93731d0f17c58825/0113614284.jpeg "Freelance-Plattformen sollten nicht nur umfangreiche, sondern auch verlässliche Informationen über die Fähigkeiten der jeweiligen Entwickler bieten. (Bild: <a href=https://pixabay.com/users/oleksandrpidvalnyi-4638469/>Oleksandr Pidvalnyi</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/3c/b7/3cb778bf0cf16cf4172cb4d902bcb933/0113979637.jpeg "Der 2023 Cloud Developer Survey Report berichtet, was Entwickler, Architekten und andere Cloud-Experten über den aktuellen Stand der Branche denken. (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Tipps und Tricks für mehr Softwaresicherheit Security-Spickzettel für Entwickler
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Mit dem Thema Sicherheit sollten sich auch „einfache“ Entwickler beschäftigen. Da wäre es doch gut, eine Art Erinnerungs- oder Spickzettel zu haben? Hier folgt eine Liste, um welche Dinge man sich bei der Software-Sicherheit kümmern sollte.
Nicht jedes Development-Projekt kann sich einen Sicherheitsspezialisten leisten. Sicherheit ist aber ein entscheidendes Merkmal von Software. Dies gilt vor allem dann, wenn es sich um Software-gesteuerte Geräte handelt, von denen Leben und Gesundheit abhängen, oder Systeme, die personenbezogene Daten verarbeiten.
Software-Sicherheit unterscheidet sich der Bedeutung nach von den allgemeinen funktionellen Anforderungen und ist dadurch weniger intuitiv. Das gewünschte Programmverhalten wird normalerweise als vorrangiges Ziel angesehen, im Gegensatz dazu ist das, was das Programm nicht tun sollte, das Hauptanliegen von Sicherheit, mit anderen Worten – die Vermeidung des unerwünschten Verhaltens.
Sicherheitsmerkmale
Durchaus denkbar, dass Sie derjenige sind, der die Last der sicheren Software auf die eine oder die andere Art zu tragen hat. Deshalb haben wir diesen Security-Spickzettel für Sie erstellt. Im Folgenden zunächst einmal die drei Hauptmerkmale von Software, die wir mit Blick auf die Sicherheit bewahren wollen:
- Vertraulichkeit: bedeutet, dass sensible Informationen nicht an Unbefugte gelangen dürfen;
- Integrität: heißt, dass gespeicherte Informationen nicht durch Unbefugte modifiziert werden dürfen;
- Verfügbarkeit: impliziert, dass ein System auf die Anfragen reagieren muss (gemäß der vereinbarten Bedingungen).
Während die Verfügbarkeit intuitiv mit dem Schutz vor DoS-Angriffen assoziiert wird, ist sie nicht darauf beschränkt. Man denke nur an folgende ebenso relevante Probleme: Anwendungs-Upgrades, Erneuerung der IP-Adressen-Zuteilung oder der Domain-Namen-Zuteilung oder der Rollover von Verschlüsselungs- und Authentifizierungszertifikatem.
Wenn diese Eigenschaften verletzt werden, gilt die Software als sicherheitsanfällig. Der Begriff der Sicherheitsanfälligkeit beschreibt einen sicherheitsrelevanten Software-Defekt, der ausgenutzt werden kann, um das unerwünschte Verhalten herbeizuführen. Wird die Anfälligkeit durch einen Design- und nicht Code-Defekt verursacht, so ist es ein Mangel.
Sicherheitsgrundsätze
Es gibt eine Reihe allgemeiner Grundsätze, die Sie beim Erstellen sicherer Software befolgen sollten. Im Allgemeinen können diese Grundsätze in folgende Kategorien unterteilt werden:
Prävention
Vollständige Fehlereliminierung; beispielweise ist es möglich, ganze Fehlersätze zu eliminieren, wenn man speichersichere Programmiersprachen wie Java oder C# anstatt von C/C++ verwendet.
Minimierung
Verringerung des Schadens, der durch die Ausnutzung eines unbekannten Fehlers entstehen könnte; beispielweise könnte man den Schaden einer gehackten Datenbank deutlich minimieren, wenn die gespeicherten Daten verschlüsselt sind. Ein weiteres Beispiel ist das Sperren von Konten mit verdächtigem Verhalten und die Anforderung der zusätzlichen Bestätigung über potentiell schädliche Aktionen.
Erkennung
Identifizieren und Verstehen des Angriffs (d. h. Überwachung); es ist erforderlich, so schnell wie möglich über potentiell böswillige Aktionen informiert zu werden. Umfangreiche Echtzeit-Telemetrie ist in solchen Fällen sehr hilfreich.
Wiederherstellung
Schaden rückgängig machen; es ist immer erforderlich, Daten zu sichern und extra Ressourcen für den Notfall bereit zu halten. Darüber hinaus ist es äußerst wichtig, über die Verfahren zur Wiederherstellung von gehackten Benutzer-Konten zu verfügen.
Beim Entwerfen, bei der Implementierung oder beim Warten der Software sollten Sie folgende Grundregeln beachten:
Einfachheit (Prävention)
- 1. Bevorzugen Sie einfaches Design: „Keep it simple, stupid“, ist ein bekanntes Meme, das in unserem Kontext absolut anwendbar ist. Überlegen Sie es sich gut, wenn Sie sich zwischen einem altmodischen monolithischen System und hochgejubelten Microservices entscheiden. Berücksichtigen Sie verfügbare Kapazitäten und Kompetenzen.
- 2. Benutzen Sie Fail-Safe-Defaults: Verwenden Sie niemals Standard-Kennwörter, wenden Sie branchenübliche Verschlüsselungsmechanismen an, ziehen Sie Whitelisting dem Blacklisting vor, usw.
- 3. Erwarten Sie keine erfahrenen Benutzer: Je mehr Macht Sie uneingeschränkt geben, desto höher ist die Wahrscheinlichkeit des Machtmissbrauchs. Zum Beispiel erfordert die Installation von Anwendungen aus nicht vertrauenswürdigen Quellen auf Android (APK-Dateien) explizite Aktivierung dieser Funktion in den Geräteeinstellungen, was eine angemessene narrensichere Lösung darstellt.
- 4. Bevorzugen Sie einfache Benutzeroberflächen: Noch einmal, Komplexität ist ein Feind der Sicherheit. Eine komplexe Benutzeroberfläche erhöht die Wahrscheinlichkeit eines Fehlers sowohl bei dem Entwickler als auch bei dem Benutzer.
- 5. Geben Sie den Benutzern keine Möglichkeit, Sicherheitsentscheidungen zu treffen: Man kann nicht davon ausgehen, dass die Benutzer die Verschlüsselungsprogramme oder auch nur die Regeln des sicheren Online-Verhaltens verstehen, lassen Sie daher keine Verschlüsselungsalgorithmen und Verschlüsselungscodes oder unsichere Passwörter auswählen.
Zurückhaltendes Vertrauen (Prävention, Minimierung)
1. Nutzen Sie eine kleine Trusted Computing Base: Je mehr Komponenten das System umfasst (sowohl Hardware als auch Software), desto größer ist die Angriffsfläche. In diesem Sinne sollte jede neue Plattform, die Sie unterstützen, und jeder Service, den Sie einbeziehen, als eine Risiko-und Gefahrenquelle betrachtet werden.
2. Verwenden Sie keine eigene Verschlüsselung: Verschlüsselung ist eine keinesfalls triviale Angelegenheit, so dass der Versuch ihre Aspekte selbst umzusetzen, nichts anderes als eine Einbildung ist, es sei denn Sie sind ein Fachmann. Der richtige Ansatz besteht darin, offene branchenübliche Protokolle und Algorithmen zu verwenden.
3. Least-Privilege-Prinzip für Komponenten und Benutzer: Seien Sie vorsichtig, wenn Sie Ihrer Anwendung und Benutzern Berechtigungen erteilen (auch indirekt). Benötigt Ihre Anwendung wirklich den Zugriff auf ein Dateisystem? Müssen Lesevorgänge für eine Datenbank unter einem Konto mit höheren Berechtigungen durchgeführt werden?
4. Eingabevalidierung: Füttern Sie Ihr System nicht mit fehlerhaften Daten. Definieren Sie eindeutig die Grenzen der gültigen Daten und setzen Sie diese durch Whitelisting durch.
5. Fördern Sie die Privatsphäre: Begrenzen Sie den Zugriff auf die personenbezogenen Daten; Die formale Definition der privaten/personenbezogenen Daten kann je nach lokalem Recht unterschiedlich sein, während das gemeinsame Merkmal der privaten Daten eine direkte oder eine indirekte Möglichkeit ist, die eigentliche Person zu ermitteln, zu der diese Daten gehören.
6. Unterteilung: Nutzen Sie Prozesse, Container und Sandboxen, um Komponenten oder sogar bestimmte Vorgänge voneinander zu trennen.
7. Defense in Depth:
a. Sicherheit durch Vielfalt (HTTPS + sichere Sprache + Datenverschlüsselung + VPN); Kombinieren Sie alle Ihnen zur Verfügung stehenden Sicherheitsmechanismen. Unterlassen Sie gleichzeitig die Verwendung von Tools, mit denen Sie sich nicht auskennen, und engagieren Sie gegebenenfalls einen Fachmann.
b. Nutzen Sie Standard- und Open-Source-Lösungen (vermeiden Sie Sicherheit durch Unklarheit); Sie müssen von dem Gedanken wegkommen, dass proprietäre Software oder Protokolle (vor allem Ihre eigenen) Schutz bieten, da sie keiner kennt. Nur von öffentlich verfügbaren und untersuchten Tools und Protokollen kann man behaupten, dass sie sicher sind.
8. Überwachung und Rückverfolgbarkeit (Prävention/Wiederherstellung):
a. Sammeln Sie Protokolle, Telemetrie. Denken Sie daran, Warnmeldungen bei gefährlichen/verdächtigen Vorfällen zu erstellen.
b. Erstellen Sie Backups/Snapshots. Bewahren Sie sie auf separaten Servern auf und stellen Sie sicher, dass Sie über Wiederherstellungsmechanismen verfügen.
Natürlich ist es möglich, weitere Grundsätze dieser Art zu entwickeln, dabei sollte die Befolgung der bereits definierten in den meisten Fällen genügen.
Der sichere Entwicklungsprozess
Es kommt nicht selten vor, dass die Sicherheitsfragen reaktiv behandelt und aufgeschoben, bis sie unzumutbar werden. Dies ist ein falscher Ansatz. Ein sicherer Entwicklungsprozess bedeutet, dass die erforderlichen Tätigkeiten und Verfahren für jede Entwicklungsstufe eingeführt werden:
Anforderungen
- 1. Definieren Sie die Sicherheitsanforderungen (Missbrauchsfall): Ein Missbrauchsfall ist das Gegenteil vom Anwendungsfall (oder der funktionellen Anforderung). Was das System nicht tun sollte, sollte explizit definiert werden.
- 2. Definieren Sie die Sicherheitseigenschaften der Systemkomponenten (z.B. Vertraulichkeit, Integrität, Verfügbarkeit): Bestimmen Sie explizit, welche Teile der gespeicherten Daten vertraulich sind. Bestimmen Sie, welche Rollen im System vorhanden sind, und welche Daten sie bearbeiten sollen. Vereinbaren Sie die Verfügbarkeitsanforderungen.
- 3. Definieren Sie die Sicherheitsmechanismen zur Unterstützung dieser Merkmale (Authentifizierung, Autorisierung, Audit): Das Vorhandensein dieser drei Au*-Mechanismen wird oft als "Der goldene Sicherheitsstandard" angesehen. Ein System kann nicht als sicher angesehen werden, wenn eines davon fehlt.
- 4. Definieren Sie die Bedrohungsmodelle: Es ist notwendig, den Angreifer und mögliche Angriffsflächen zu definieren (z.B. Netzwerkverkehr, lokale Dateien, oder auch angezeigte Daten, etc.).
Design
- 5. Bedrohungsorientiertes Design (reagiert auf die zuvor definierten Bedrohungsmodelle im Systemdesign);
- 6. Risikoanalyse/Bewertung der Architektur (Erkennen der potentiellen Design-Fehler);
- 7. Wenden Sie die oben definierten Sicherheitsgrundsätze an (Prävention, Minimierung, Erkennung, Wiederherstellung).
Umsetzung
1. Befolgen Sie die besten Kodierstandards-und Richtlinien.
2. Führen Sie vorgeschriebene Code-Überprüfungen durch.
3. Wenden Sie Automatisierungstools an, um die höchste Codequalität zu gewährleisten.
a. Statistische Analyse
b. Symbolische Ausführung
c. Concolische Ausführung
4. Testen
a. Risiko-basierte Sicherheitstests: Diese Tests betreffen die wichtigsten Teile des Systems, die durch Bedrohungsmodellierung festgestellt werden.
b. Penetrationstest: Sicherheitsspezialosten übernehmen die Rolle eines Eindringlings und versuchen, die Sicherheitsmechanismen zu überwinden.
c. Fuzz Testing: Versorgung des Systems mit zufälligen und fehlerhaften Daten kann oft unerwünschte Verhaltensweisen aufdecken.
Häufige Design- und Implementierungsfehler
Wenn Sie einen sicheren Entwicklungsprozess verfolgen, denken Sie immer an Irrtümer, die den Entwicklern oft unterlaufen:
- Annahme des Vertrauens, anstatt es explizit zu geben;
- Verwendung eines Authentifizierungsmechanismus, den man umgehen kann;
- Autorisierung ohne ausreichenden Kontext;
- Verwechselung von Daten und Steueranweisungen; Das ist genau die Quelle der berüchtigten SQL-Injections, XSS-Angriffe, und Remote-Code-Ausführungen.
- Fehlende Datenvalidierung;
- Keine richtige Verschlüsselungsanwendung;
- Keine Identifizierung sensibler Daten;
- Integration der externen Komponenten ohne Berücksichtigung deren Angriffsfläche;
- Strenge Beschränkung der künftigen Veränderungen.
OWASP und die 10 wichtigsten Sicherheitslücken
Das Open Web Application Security Project ist eine Non-Profit-Organisation, die sich mit der Verbesserung der Software-Sicherheit beschäftigt. Und Sie können ihre Ressourcen optimal nutzen. Diese Organisation bietet nützliche Empfehlungen und „Spickzettel“ für beliebte Entwicklungsplattformen wie. Net und Java. OWASP ist in erster Linie für ihre „Top Ten“-Liste bekannt, die die häufigsten Schwachstellen in verschiedenen Bereichen beschreibt:
Sicherheit für Entwickler: die Quintessenz
Behandeln Sie die Sicherheitsbelange zuerst, schieben Sie sie keinesfalls bis zum bitteren Ende auf. Planen und führen Sie alle erforderlichen Tätigkeiten während jeder Entwicklungsphase durch, um Ihre Kunden und Ihr Ansehen zu schützen.
Beachten Sie, dass es sich bei diesem Artikel nur um einen allgemeinen Spickzettel handelt. Es erfordert viel Lernen und Übung, um ein kompetenter Spezialist zu werden. Sie müssen unbedingt Ihre Zeit und Ressourcen investieren und an entsprechenden Lehrgängen teilnehmen oder sogar eine Zertifizierung in Ihrem besonderen Interessenfeld erhalten.
* Mykola Mozgovy ist Senior Software Developer bei Sigma Software.
(ID:47318865)
:quality(80)/p7i.vogel.de/wcms/ae/f9/aef9abe8af0175133804a83ad33d09d3/0113543049.jpeg "Die OWASP Top 10 für LLM ermöglichen es Unternehmen und Organisationen, die mit diesen Modellen arbeiten, frühzeitig Sicherheitsrisiken und -probleme bei KI zu erkennen, zu bewerten und zu behandeln. (Bild: 3dkombinat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/35/de351c15e36398bb82e1f94808f9c7bd/0106191358.jpeg "Die Einhaltung internationaler Standards ist für Unternehmen aus dem IT-Sicherheitsbereich eine wichtige Voraussetzung, um bei Kunden und Partnern nachhaltig Vertrauen zu schaffen. (Bild: Kaspersky)")