:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/4a/2c/4a2c83570cf413a53acc88791127985b/0113689146.jpeg "UX- und UI-Design müssen sich auf immer neue Trends einstellen, es gibt allerdings auch einige festgeschriebene Grundregeln. (Bild: <a href=https://unsplash.com/@karlsolano>Karl Solano</a>)")
:quality(80)/p7i.vogel.de/wcms/1c/21/1c217e175ccf86245c86b48a7a70f930/0114270577.jpeg "Sysdig und Checkmarx führen Cloud- und Anwendungssicherheit auf einer Plattform zusammen. (Bild: William)")
:quality(80)/p7i.vogel.de/wcms/58/19/5819c761ed85847bcd078190acf7ad4f/0114215872.jpeg "Die Beta von GitHub Copilot Chat ist fortan für alle User von Visual Studio und VS Code verfügbar. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/5e/08/5e0825016fa505d43decf6f23fcd5047/0114270026.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/ca/02caa38db6be1bcce330d6bb35d8742e/0114195179.jpeg "Langeweile lassen Developer nicht lange auf sich sitzen, der Arbeitgeber ist schnell gewechselt. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/dd/64/dd64a3e1d07ca90d00b83de559c2512d/0113887944.jpeg "„Edge-Computing ist kein bestimmter Ort oder Gerätetyp, sondern eher ein Kontinuum von Standorten, die vom zentralisierten Cloud-Computing entfernt sind“, so Autor Sebastian Scheele. Trotzdem eignen sich Cloud-Native-Technologien, insbesondere Kubernetes, um an der Edge Computing zu betreiben. (Bild: frei lizenziert: distelAPPArath)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/6e/a8/6ea8547b0fb110921fb8b4b40e9c7eb9/0114132511.jpeg "Eine simple Slideshow samt Vollbildmodus? Kein Problem für Bard und GPT-4. (Bild: Rentrop)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
DevSecOps Sichere Software trotz schneller Entwicklung
DevOps bedeutet: weniger Konflikte zwischen Software-Entwicklung und IT-Betrieb, kürzere Entwicklungszyklen und die beschleunigte Bereitstellung neuer Features. Aber wie steht es dabei um die Sicherheit?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/7e/627e1ceac041f/fis-logo.png "fis-logo (FIS)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
In der Software-Entwicklung gilt: Wer neue Features schneller verwirklichen und Schwachstellen schneller beseitigen kann als die Wettbewerber, der dominiert den Markt. 88 Prozent der deutschen Unternehmen halten DevOps deshalb für erfolgsentscheidend – so das Ergebnis einer aktuellen Studie von CA Technologies und Coleman Parkes.
DevOps verbessert nicht nur das Arbeitsklima und die Koordination zwischen Entwicklern und Mitarbeitern des IT-Betriebs, sondern macht den Software Development Lifecyle (SDLC) insgesamt effizienter und verlässlicher. Eine Neuausrichtung von Software-Entwicklung und -Bereitstellung nach DevOps-Prinzipien ist für die meisten Unternehmen ein logischer und oftmals geradezu unausweichlicher Schritt.
Selbstverständlich ist es nicht ganz einfach, eine neue Kultur der Zusammenarbeit mit neuen Tools und Prozessen zu etablieren. Vor allem darf die Applikationssicherheit dabei nicht vernachlässigt werden.
Aus DevOps wird DevSecOps
Bei DevOps geht es nicht zuletzt um Geschwindigkeit. Strenge Sicherheitsrichtlinien aber gelten vielen IT-Verantwortliche als Hemmschuh für schnelle Releases. Darüber hinaus werden beispielsweise Manipulationen und Datendiebstähle durch abtrünnige Mitarbeiter im Rahmen von DevOps einfacher, weil die Entwickler meist Schreibrechte auf die Produktivsysteme erhalten.
Aus Gründen wie diesen hörte man in der Vergangenheit oft das Argument, dass DevOps und Security unvereinbar seien – oder zumindest schwer unter einen Hut zu bringen. Tatsächlich sollten sich Unternehmen von Anfang an darum bemühen, dass die Anwendungssicherheit bei der Umstellung nicht auf der Strecke bleibt. Denn die verkürzten Entwicklungszyklen bieten weniger Zeit für Funktionstests und Qualitätssicherung, außerdem fehlt es oft an Problembewusstsein und an den nötigen organisatorischen Voraussetzungen, um die Umstellung auf DevOps sicher zu gestalten.
Werden diese Herausforderungen jedoch gemeistert, kann auch die Anwendungssicherheit von DevOps in vielerlei Hinsicht profitieren. So lautet etwa ein wichtiges Kredo des Ansatzes, dass kritische Software-Fehler niemals die Pipeline entlangwandern, sondern zum frühestmöglichen Zeitpunkt behoben werden sollten.
Bei konsequenter Umsetzung gewinnt auch der Kampf gegen Sicherheitslücken an Effizienz – denn je früher ihre Beseitigung, desto geringer die Folgekosten. Darüber hinaus strebt DevOps an, möglichst viele Aufgaben im Software Development Lifecycle (SDLC) zu automatisieren. Das betrifft auch funktionale, Performance-Tests und weitere Sicherheitsmaßnahmen, die auch automatisiert ablaufen.
Nachvollziehbarkeit und Transparenz sind weitere Vorteile. Viele DevOps-Tools erzeugen detailgenaue Protokolle, die exakt nachvollziehbar machen, wer wann welche Handlungen und Änderungen vorgenommen hat. Durch das Prinzip des Continuous Feedbacks entsteht zusätzliche Transparenz: Durch alle Phasen des SDLCs zieht sich ein kontinuierlicher Feedback-Loop, Informationen werden systematisch geteilt. So lassen sich Sicherheitsschwachstellen in der Software leichter aufdecken und es wird möglich, schneller auf Abweichungen zu reagieren.
Technologien, die DevOps sicher machen
Damit die Anwendungssicherheit von DevOps profitieren kann, bedarf es einer technischen Aufrüstung. Um die Prozesse möglichst effizient zu gestalten, sollte der Fokus dabei auf größtmöglicher Automatisierung liegen. Für so gut wie alle Phasen des SDLCs sind entsprechende Technologien verfügbar. Drei Beispiele:
- White-Box-Tests (SAST) helfen in der Frühphase der Anwendungsentwicklung, Schwachstellen im Code zu identifizieren. Tools für die statische Code-Analyse automatisieren diesen Suchprozess und nehmen im besten Fall auch die Komponenten von Drittanbietern inklusive Open-Source-Komponenten unter die Lupe. Denn diese bergen häufig enorme Sicherheitsrisiken und werden aufgrund ihrer hohen Verbreitung von Angreifern besonders häufig ins Visier genommen.
- Black-Box-Tests (DAST) imitieren das Vorgehen von Cyberkriminellen, die die Anwendungsoberfläche auf mögliche Einfallstore abklopfen, indem sie zum Beispiel Schadcode in Webformulare einspeisen. Mithilfe einer Appliance für das lokale Scannen lassen sich Anwendungen schon vor dem Deployment in die Produktivumgebung solchen Tests unterziehen. Black-Box-Tests erkennen Schwachstellen wie Cross-Site-Scripting (XSS) und SQL-Injections, identifizieren aber auch Laufzeitprobleme, die bei der Untersuchung des Codes im Rahmen von White-Box-Tests nicht ohne Weiteres zu erkennen sind.
- Runtime-Application-Self-Protection (RASP) kommt in der Produktivumgebung zum Einsatz. Es wird direkt in die Runtime-Umgebung integriert, nimmt Einblick in die Anwendungslogiken und kann auf diese Weise Angriffe zuverlässiger erkennen und blockieren als klassische Werkzeuge der Perimetersicherheit.
Wenn es Unternehmen im Rahmen der Umstellung auf DevOps gelingt, in allen Phasen des SDLCs passende Sicherheitsmaßnahmen zu etablieren, dann steht eine Erhöhung der Risiken nicht mehr zu befürchten. Im Gegenteil: Die Anwendungssicherheit kann von den neuen Technologien enorm profitieren.
Fazit: Schneller, aber sicher
Wie können Unternehmen DevOps und die Anwendungssicherheit unter einen Hut bringen? Dass DevOps das Sicherheitsniveau senke, ist ein Mythos. Richtig ist aber: Nicht nur Entwickler und Systemadministratoren, sondern auch die Verantwortlichen für IT-Sicherheit müssen im Rahmen der Umstellung auf DevOps neue Probleme meistern und neue Lösungen entwickeln. Die schnelleren Entwicklungszyklen lassen weniger Zeit für Qualitätssicherung – und das ist nur eine von vielen Herausforderungen, die DevOps birgt.
Der IT-Sicherheit wird abverlangt, sich in Sachen Richtlinien und Compliance völlig neu aufzustellen. Vor allem aber bedarf es einer technischen Aufrüstung: Tools, die wesentliche Sicherheitsaufgaben automatisieren, sorgen für einen besseren Schutz der Anwendungen und machen die zugrundeliegenden Prozesse schneller und effizienter. So lassen sich einerseits Risiken minimieren, andererseits wird aber auch die Gefahr abgewendet, dass unnötig langwierige Sicherheitsmaßnahmen den Entwicklungszyklus ausbremsen.
* Nabil Bousselham ist seit Juli 2015 als Solutions Architect beim Spezialisten für Anwendungssicherheit Veracode tätig. Bousselham hat Informatik und Physik an der Universität Leipzig studiert und verfügt über mehrere Zertifikate im Bereich Software Engineering der ISQI GmbH und ISSECO CPSSE.
(ID:44843479)
:quality(80)/p7i.vogel.de/wcms/5d/85/5d853838fb5e7b5f9dcee0fae678a553/0107051311.jpeg "Julian Totzek-Hallhuber: „Security in einen bestehenden DevOps-Prozess zu integrieren, ist extrem schwierig.“ (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/fc/7d/fc7da89227ed1ece83de9a0d5ff80fb0/0113726180.jpeg "Früherkennung, Transparenz und Observability: Schlüsselstrategien für sichere und effiziente moderne Anwendungen in der digitalen Ära. (Bild: ZinetroN - stock.adobe.com)")