:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/20/a8/20a8a156f7da6e4f19c9243209dae51b/0113707453.jpeg "Die Zahl der Jenkins-Pipelines legte zwischen Juni 2021 und Juni 2023 deutlich zu. (Bild: Jenkins.io)")
:quality(80)/p7i.vogel.de/wcms/fa/66/fa667ce27d791e4d93731d0f17c58825/0113614284.jpeg "Freelance-Plattformen sollten nicht nur umfangreiche, sondern auch verlässliche Informationen über die Fähigkeiten der jeweiligen Entwickler bieten. (Bild: <a href=https://pixabay.com/users/oleksandrpidvalnyi-4638469/>Oleksandr Pidvalnyi</a>)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/73/e2/73e2407821e9b97926d18c786b43a1dc/0113715722.jpeg "Rendered Text hat sich Gedanken zu den 12 besten Kubernetes-Tools gemacht. (Bild: <a href=https://unsplash.com/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/6b/e3/6be36ef98e76a698de9c93b777c7b38f/0113606383.jpeg "Kollaborativ, ressourcenschonend, transparent: Open-Source-Code folgt in vielerlei Hinsicht dem Gedanken der Nachhaltigkeit. (© weerapat1003 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/d5/93d5fd1b87f3649ef503933d229c71dc/0113760310.jpeg "Kein Grund mehr zu kämpfen: Die Frage, ob quelloffener Code sicherer als proprietärer Code ist, stellt sich eigentlich gar nicht mehr. (Bild: <a href=https://pixabay.com/users/tenleaf-6286534/>Yingnan Lu</a>)")
:quality(80)/p7i.vogel.de/wcms/1d/57/1d578f499e5af1dad699dc880b72e1ed/0113594566.jpeg "„Watsonx Code Assistant for Z“ von IBM soll Unternehmen dabei unterstützen, mit Hilfe von generativer KI und automatisierten Werkzeugen die Modernisierung ihrer Mainframe-Anwendungen voran zu bringen – mit dem Ziel, die Leistungsfähigkeit, Sicherheit und Ausfallsicherheit von „IBM Z“ zu erhalten. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Entwickler mit Credential- und Secrets-Management unterstützen Sichere Entwicklung beginnt beim Zugriffsschutz
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/7e/627e1ceac041f/fis-logo.png "fis-logo (FIS)"){kind=logo}
Unternehmen setzen zunehmend auf eine agile Softwareentwicklung und DevOps-Modelle, um Innovationen voranzutreiben und die geschäftliche Performance zu verbessern. Die Sicherheit darf dabei allerdings nicht auf der Strecke bleiben. Und sie sollte kein Add-on, sondern muss integraler Bestandteil sein.
Nach wie vor unterschätzen Unternehmen bei der agilen Entwicklung und DevOps-Implementierungen die Sicherheit. Dabei lassen sie außer Acht, dass gerade dadurch die Angriffsfläche für Cyber-Attacken steigt, allein schon, weil mehr Zugangsdaten generiert und über vernetzte Systeme hinweg geteilt werden.
Zu solchen Zugangsdaten und Anmeldeinformationen gehören etwa API- und SSH-Keys, Secrets von Containern oder eingebettete Passwörter in Programm-Code, der häufig auch in zentralen oder gar öffentlich zugänglichen Repositories liegt. In der Hand eines externen Angreifers stellen diese vertraulichen Zugangsdaten eine erhebliche Sicherheitsgefahr dar, da sie letztlich eine vollständige Kontrolle über die IT-Infrastruktur eines Unternehmens ermöglichen können.
Dieses Bewusstsein für die Gefahren muss auf Unternehmensseite vielfach noch entwickelt werden – die Empfehlung lautet: Denken wie ein Angreifer. Und darüber hinaus müssen auch unterstützende Sicherheitslösungen eingesetzt werden, die die Entwickler entlasten.
Sicherheit muss immer integraler Bestandteil in allen Prozessschritten der agilen Entwicklung und der DevOps-Landschaft sein: von der Designphase über die Entwicklung und das Testen bis zum Rollout einer Applikation. Um eine hohe Sicherheit und Qualität der Applikationen zu gewährleisten, sind prinzipiell zwei Punkte von hoher Relevanz: die Code-Analyse und die Sicherung von Anmeldeinformationen, die etwa in Form von Passwörtern, Tokens oder API-Keys vorliegen.
Für die Codeanalyse sind zahlreiche Automationstools für die Problemermittlung bei Operationen oder Prozeduren verfügbar. Sie sind unverzichtbar, da auch Menschen Fehler und seien es nur Flüchtigkeitsfehler machen können.
API-Schlüssel richtig nutzen
Typischer Angriffspunkt und damit das größte Sicherheitsrisiko sind aber die Anmeldeinformationen, etwa die von Anwendungen und Diensten programmatisch genutzten API-Zugriffsschlüssel. Sie dienen unter anderem der Zugriffsvalidierung bei Automationstools, mit denen die Provisionierung eines Containers oder Änderungen in der Cloud-Umgebung wie das Stoppen und Starten eines Servers vorgenommen werden.
Das Grundproblem dabei ist, dass Anmeldeinformationen vielfach statisch gespeichert werden, etwa in Code hinterlegt oder in Repositories wie GitHub gespeichert. Die Lösung muss deshalb lauten: Anmeldeinformationen dynamisch erzeugen und erst zur Laufzeit laden.
Bezogen auf die API-Key-Nutzung ergibt sich dadurch folgender Ablauf: Starten des Funktionsaufrufs, Übergabe der Anmeldeinformationen und Berechtigungsprüfung etwa für den Applikations- oder Datenbankzugriff. Für die Speicherung und Verwaltung von Zugangsdaten und API-Schlüsseln bietet sich ein digitaler Datentresor (Vault) an, also ein speziell „gehärteter“ Server, der mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet.
Cloud-Konten als Gefahrenquelle
In engem Zusammenhang mit DevOps-Modellen steht auch die Cloud-Nutzung, etwa die Verwendung von Cloud-basierten Source-Code-Repositories. Um Sicherheitsgefahren bei der Nutzung von Cloud-Services auszuschließen, müssen Unternehmen die Zugangsdaten zu Cloud-Managementkonsolen und -portalen adäquat verwalten, sichern und überwachen.
Bei einer Single-Cloud-Lösung können dabei prinzipiell Identity-and-Access-Management (IAM)-Funktionen, Multi Factor Authentication (MFA) und Key Management Stores (KMS) in der jeweiligen Cloud selbst genutzt werden. Bei einer Multi-Cloud-Lösung hingegen sollten Unternehmen eine von einer bestimmten Cloud-Lösung unabhängige Credential- und Secrets-Management-Lösung einsetzen, die zentral den Zugriff auf Anmeldeinformationen regelt.
Die agile Entwicklung und Nutzung von DevOps-Modellen bringt Unternehmen erhebliche Vorteile wie die Reduzierung von Kosten oder die Erhöhung von Flexibilität und Skalierbarkeit. Und auch die Sicherheit muss dabei nicht zu kurz kommen. Eine elementare Voraussetzung ist allerdings, dass Sicherheit von Anfang an elementarer Bestandteil der Prozess-kette ist und alle Anmeldedaten zuverlässig geschützt werden.
* Christian Goetz ist Director of Presales DACH bei CyberArk.
(ID:46829600)
:quality(80)/p7i.vogel.de/wcms/ce/90/ce903f29a3e5354bcb91183a7b28a192/0106887392.jpeg "Mit dem richtigen Secrets Management können Unternehmen ihre DevOps-Prozesse entscheidend absichern, ohne unflexibel zu werden. (Bild: kieferpix - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/d9/b1d9186ec53f51a38e42e80905286015/0107830994.jpeg "JFrog-CEO Shlomi Ben Haim: „Unsere Plattform fungiert als der zentrale Speicherort für die Binärdateien des Unternehmens – direkt im Herzen der Software-Lieferkette unserer Kunden.“ (Bild: JFrog)")