:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/20/a8/20a8a156f7da6e4f19c9243209dae51b/0113707453.jpeg "Die Zahl der Jenkins-Pipelines legte zwischen Juni 2021 und Juni 2023 deutlich zu. (Bild: Jenkins.io)")
:quality(80)/p7i.vogel.de/wcms/fa/66/fa667ce27d791e4d93731d0f17c58825/0113614284.jpeg "Freelance-Plattformen sollten nicht nur umfangreiche, sondern auch verlässliche Informationen über die Fähigkeiten der jeweiligen Entwickler bieten. (Bild: <a href=https://pixabay.com/users/oleksandrpidvalnyi-4638469/>Oleksandr Pidvalnyi</a>)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/73/e2/73e2407821e9b97926d18c786b43a1dc/0113715722.jpeg "Rendered Text hat sich Gedanken zu den 12 besten Kubernetes-Tools gemacht. (Bild: <a href=https://unsplash.com/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/6b/e3/6be36ef98e76a698de9c93b777c7b38f/0113606383.jpeg "Kollaborativ, ressourcenschonend, transparent: Open-Source-Code folgt in vielerlei Hinsicht dem Gedanken der Nachhaltigkeit. (© weerapat1003 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/d5/93d5fd1b87f3649ef503933d229c71dc/0113760310.jpeg "Kein Grund mehr zu kämpfen: Die Frage, ob quelloffener Code sicherer als proprietärer Code ist, stellt sich eigentlich gar nicht mehr. (Bild: <a href=https://pixabay.com/users/tenleaf-6286534/>Yingnan Lu</a>)")
:quality(80)/p7i.vogel.de/wcms/1d/57/1d578f499e5af1dad699dc880b72e1ed/0113594566.jpeg "„Watsonx Code Assistant for Z“ von IBM soll Unternehmen dabei unterstützen, mit Hilfe von generativer KI und automatisierten Werkzeugen die Modernisierung ihrer Mainframe-Anwendungen voran zu bringen – mit dem Ziel, die Leistungsfähigkeit, Sicherheit und Ausfallsicherheit von „IBM Z“ zu erhalten. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Anwendungsentwicklung Sichere Anwendungen günstiger und schneller entwickeln
Wer hat das Argument nicht schon mal von Entwicklern gehört: Sicherheit würde die Entwicklung verlangsamen und sei teuer. Auch stete Wiederholung macht diese Aussage nicht richtig. Denn genau das Gegenteil ist der Fall!
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/7e/627e1ceac041f/fis-logo.png "fis-logo (FIS)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Es ist günstiger und schneller, sichere Anwendungen zu entwickeln als ein Mindestmaß (und oft nicht einmal das) an Sicherheitsfunktionen am Ende der Entwicklung irgendwie noch dazu zu codieren. Die Lösung dafür ist nicht neu. Das Thema Anwendungssicherheitsinfrastrukturen (Application Security Infrastructures) wird schon seit rund zehn Jahren diskutiert.
Dabei geht es darum, Services für Anwendungen bereitzustellen, über die Sicherheitsdienste wie die Verwaltung von Benutzern, die Authentifizierung, die Autorisierung, das Auditing oder die Verschlüsselung über standardisierte Dienste bereitgestellt werden.
Es geht dabei also um die Trennung zwischen einer Backend-Infrastruktur für Sicherheitsdienste und den Anwendungen, die auf solche Dienste zugreifen. Richtig gemacht, werden Anwendungen und die Sicherheitsdienste wie beispielsweise die IAM-Infrastruktur (Identity and Access Management) dadurch so entkoppelt, dass sowohl Anwendungen als auch die Infrastruktur weiterentwickelt und verändert werden können. Entscheidend ist, dass die Service-Schicht stabil bleibt. In vielen Bereichen geht das dank etablierter Standards wie LDAP, SAML v2, OAuth 2.0, XACML oder OpenAZ auch gut.
Durch eine solche Entkopplung werden, konsequent umgesetzt in einem „Adaptive, Policy-based Access Management“, viele Vorteile erreicht, unter anderem:
- Backend-Dienste werden einheitlich genutzt. Es entstehen also beispielsweise keine isolierten Verzeichnisdienste mehr, die später aufwändig integriert werden müssen.
- Entwickler müssen sich über die Details von Sicherheit keine Gedanken mehr machen – sie nutzen standardisierte Dienste. Damit wird die Gefahr von Fehlern und damit Sicherheitsrisiken verringert - angefangen bei Anwendungen, die selbst die Authentifizierung übernehmen und Kennwörter unverschlüsselt speichern.
- Umstellungen beispielsweise auf stärkere Authentifizierungsmechanismen können zentral durchgeführt werden.
- Die aufwändige (und meist vergessene) Sicherheitsauditierung von Anwendungen wird einfacher.
- Richtlinienbasierende, adaptive Sicherheit bei Authentifizierung und Autorisierung kann zentral umgesetzt werden.
Dafür muss man einmal den Aufwand leisten, die Vorgaben zu definieren. Innerhalb von Unternehmen betrifft das die eigene Anwendungsentwicklung, die Auftragsentwicklung durch externe Anbieter, aber auch Einkaufsregeln für Standardsoftware. Wer Standardsoftware entwickelt, muss dagegen vor allem darauf achten, Standards auf breiter Basis zu unterstützen, um sich möglichst einfach in unterschiedliche Umgebungen einklinken zu können. Für die Fälle, in denen der Kunde beispielsweise ein Benutzermanagement erwartet, kann man dann immer noch über den Standard auf einen Open Source-Verzeichnisdienst wie OpenLDAP zugreifen, den man bedarfsweise mitliefert.
Natürlich muss dafür einmal ein Konzept erstellt werden. Die Schnittstellen und zu nutzenden Bibliotheken müssen definiert sein. Aber das geht und es ist viel weniger Aufwand als jedes Mal aufs Neue Sicherheit – meist mehr schlecht als recht – in Anwendungen hinein zu codieren.
Abgesehen davon ist das ja nichts Neues. Im Mainframe-Umfeld gibt es seit 1976 IBM RACF und damit nichts anderes als ein System für die Auslagerung von Sicherheitsfunktionen aus Anwendungen und faktisch damit die Umsetzung einer Anwendungssicherheitsinfrastruktur. Es ist höchste Zeit, längst vorhandene Konzepte nun Realität werden zu lassen, um die Sicherheit von Anwendungen zu erhöhen und die Anwendungsentwicklung effizienter zu machen.
* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.
(ID:44394267)
:quality(80)/p7i.vogel.de/wcms/01/7d/017d46f929e72063f3b1a4d44b0544dd/0106795590.jpeg "Proxmox-Dashboard auf Container-Level. (Bild: Lang / Proxmox)")
:quality(80)/p7i.vogel.de/wcms/58/a1/58a167ea75b8ead12fc8852d346daeef/0113333789.jpeg "Das Rollen-Konzept der Dev Box. (Bild: Microsoft)")