:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/20/a8/20a8a156f7da6e4f19c9243209dae51b/0113707453.jpeg "Die Zahl der Jenkins-Pipelines legte zwischen Juni 2021 und Juni 2023 deutlich zu. (Bild: Jenkins.io)")
:quality(80)/p7i.vogel.de/wcms/fa/66/fa667ce27d791e4d93731d0f17c58825/0113614284.jpeg "Freelance-Plattformen sollten nicht nur umfangreiche, sondern auch verlässliche Informationen über die Fähigkeiten der jeweiligen Entwickler bieten. (Bild: <a href=https://pixabay.com/users/oleksandrpidvalnyi-4638469/>Oleksandr Pidvalnyi</a>)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/73/e2/73e2407821e9b97926d18c786b43a1dc/0113715722.jpeg "Rendered Text hat sich Gedanken zu den 12 besten Kubernetes-Tools gemacht. (Bild: <a href=https://unsplash.com/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/6b/e3/6be36ef98e76a698de9c93b777c7b38f/0113606383.jpeg "Kollaborativ, ressourcenschonend, transparent: Open-Source-Code folgt in vielerlei Hinsicht dem Gedanken der Nachhaltigkeit. (© weerapat1003 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/d5/93d5fd1b87f3649ef503933d229c71dc/0113760310.jpeg "Kein Grund mehr zu kämpfen: Die Frage, ob quelloffener Code sicherer als proprietärer Code ist, stellt sich eigentlich gar nicht mehr. (Bild: <a href=https://pixabay.com/users/tenleaf-6286534/>Yingnan Lu</a>)")
:quality(80)/p7i.vogel.de/wcms/1d/57/1d578f499e5af1dad699dc880b72e1ed/0113594566.jpeg "„Watsonx Code Assistant for Z“ von IBM soll Unternehmen dabei unterstützen, mit Hilfe von generativer KI und automatisierten Werkzeugen die Modernisierung ihrer Mainframe-Anwendungen voran zu bringen – mit dem Ziel, die Leistungsfähigkeit, Sicherheit und Ausfallsicherheit von „IBM Z“ zu erhalten. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Application Security von Grund auf umsetzen Sicherheit im Software Development Lifecycle
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Wer sichere Software-Entwicklung etablieren will, muss bereit sein, bestehende Prozesse umzuschmeißen. Dieser Artikel zeigt Maßnahmen und Verfahrensanpassungen für einen gut abgestimmten und sicheren Software Development Life Cycle.
Die Sicherheitslücken in Anwendungen und in der Konfiguration der Umgebung gehören zu den wichtigsten Faktoren für den Erfolg von Cyberattacken. Gemäß IBM betrugen die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2023 weltweit 4,45 Millionen US-Dollar, was einem Anstieg von 15 Prozent innerhalb von drei Jahren entspricht.
Beim sicheren SDLC geht es darum, verschiedene Praktiken in bestehende Softwareentwicklungsprozesse zu integrieren. Die richtige Kombination solcher Praktiken auf verschiedenen Stufen des Zyklus zur rechten Zeit ermöglicht es Ihrem Unternehmen, ein Produkt mit einem sehr hohen vorhersehbaren Sicherheitsniveau zu erzielen.
Einige der wichtigsten Vorteile dieses Ansatzes sind:
- Die Software ist sicherer, weil die Sicherheit während des gesamten Lebenszyklus im Mittelpunkt steht.
- Alle interessierten Parteien sind sich der Sicherheitsüberlegungen bewusst.
- Probleme werden frühzeitig entdeckt, noch bevor sie in den Code aufgenommen werden.
- Die Kosten lassen sich durch frühzeitiges Erkennen und Beseitigen von Sicherheitslücken reduzieren.
- Die Minimierung der gesamten internen Geschäftsrisiken für das Unternehmen.
Es liegen mehrere Rahmenbedingungen und Normen vor, die zur Einbindung dieser Praktiken verwendet werden können. Zum Beispiel ISO 27034, BSIMM, OWASP SAMM und andere.
Penetrationstest
Penetration Testing ist die erste Maßnahme, die vielen beim Thema Softwaresicherheit in den Sinn kommt. Pentester bewerten in der Regel die vorhandenen Anwendungen, Endgeräte, Umgebungskonfigurationen und Sicherheitskontrollen und ermitteln Lücken und Schwachstellen. Letztendlich zeigt ein solcher Bericht diese Lücken auf und gibt Empfehlungen für zusätzliche Maßnahmen, falls diese notwendig sind.
Kurz gesagt, umfasst der gesamte Prozess folgende Phasen:
- Eine Analyse potenzieller Bedrohungen, Festlegung von Zielen und Planung von Aktivitäten.
- Das Sammeln von Informationen über Zielsysteme durch verschiedene Verfahren.
- Die Analyse der Sicherheitslücken, die darauf abzielt, potenzielle Schwachstellen zu identifizieren, die zur Erreichung der Ziele des Pentests genutzt werden können.
- Die Ausnutzungsphase, in der die Pentester die Sicherheitslücken überprüfen und ausnutzen, die sie zuvor ermittelt haben.
- Die Post-Exploitation Phase zur Aufrechterhaltung des dauerhaften Zugriffs auf das System und zur Ermittlung neuer potenzieller Angriffsvektoren.
- Ergebnisanalyse und Abschlussbericht mit den Ergebnissen und Empfehlungen zur Milderung der festgestellten Probleme und zum Schutz Ihres Systems.
Pentesting erfreut sich in letzter Zeit großer Beliebtheit, da es Sicherheitslücken im System aufdeckt, Schwachstellen mit hohem Risiko identifiziert, Bedrohungen nach Prioritäten ordnet und wertvolle Empfehlungen zu deren Beseitigung gibt. Trotz der offensichtlichen Vorteile hat sie auch eine Reihe von Nachteilen:
Es ist nur ein Test
Um die Sicherheit Ihrer Anwendung zu verbessern, gilt es, die angegebenen Empfehlungen auch umsetzen. Das bedeutet: wer einen Penetrationstest kurz vor der Freigabe der Anwendung durchführt, hat möglicherweise keine Zeit mehr, die entdeckten Probleme zu beheben. Vor allem, wenn diese wesentliche Änderungen am System erfordern.
Hohe Kosten
Sowohl das Testing selbst als auch die Behebung der festgestellten Probleme kosten Ressourcen. Es ist wichtig zu verstehen, dass es nicht so viele qualifizierte Pentester gibt, die eine Anwendung gründlich prüfen und selbst die kleinsten Sicherheitslücken darin finden und ausnutzen können. Ein weiterer Kostentreiber sind die Investitionen, die erforderlich sind, um die festgestellten Probleme zu beheben. Oftmals erfordern Fixe tief greifende Änderungen an Ihrer Lösung (sogar auf Architekturebene), was erhebliche Kosten verursacht, da Sie diese erst spät im Entwicklungszyklus erkennen.
Aufrechterhaltung der kontinuierlichen Sicherheit
Pentesting ermöglichen es, Probleme zu einem bestimmten Zeitpunkt zu finden. Allerdings kann es nicht sicherstellen, dass das nächste Deployment frei von ihnen sein wird. Daher ist es entweder notwendig, vor jeder Auslösung Tests durchzuführen oder andere Sicherheitsmaßnahmen hinzuzufügen, die es Ihnen ermöglichen, Sicherheitslücken vor dem Pentest zu finden oder sogar zu verhindern.
Es ist von entscheidender Bedeutung, die Sicherheit in jede Phase des Zyklus einzubeziehen, um potenzielle Probleme in früheren Stufen und zu niedrigeren Kosten zu erkennen und zu beheben.
Einbindung der Sicherheit in jede Phase
Die Umsetzung eines sicheren Frameworks für den gesamten Softwareentwicklungs- und -betriebszyklus ist keine leichte Aufgabe. Zeigt sich ein Unternehmen noch nicht für einen vollständigen Wechsel zu einem sicheren SDLC bereit, sollte man dennoch zumindest die folgenden Aspekte im Auge behalten:
- Sicherheitspraktiken für Entwicklungsteams: Wenn Sie wissen, welche Sicherheitslücken es gibt und wie man diese Probleme mildert, kann Ihr Unternehmen Sicherheitsprobleme vermeiden und den Abschlusstest mit einem Minimum an potenziellen Störungen beenden.
- Modellierung oder praktische Bewertung von Bedrohungen: Es handelt sich um einen risikobasierten Ansatz für den Entwurf sicherer Systeme, der auf der Festlegung von Bedrohungen basiert, um Maßnahmen zu deren Milderung zu entwickeln. Mit diesen Maßnahmen lassen sich Systembedrohungen, strukturelle Mängel im Design und empfohlene Sicherheitskontrollen identifizieren, bewerten und verwalten. Eine regelmäßige Modellierung der Bedrohungen gewährleistet, dass die geplante Umsetzung sicher ist und wichtige Maßnahmen nicht vergessen werden.
- Sicherheitsanforderungen: Die Konzentration auf solche Anforderungen ist im Zusammenhang mit der Software-Sicherheit von entscheidender Bedeutung. Das Vorhandensein dieser Anforderungen vor der Entwicklung einer bestimmten Produktfunktionalität hilft, Probleme bei der Umsetzung und den anschließenden Tests zu vermeiden. Als Ausgangspunkt für konkrete Beispiele können Sie die Anforderungen des OWASP-Standard für die Verifizierung von Anwendungssicherheit übernehmen. Wenn Sie eine mobile Anwendung haben, können Sie Mobile ASVS für mobile Anwendungen einsetzen.
Fazit
Die Integration von Sicherheitsaspekten in den SDLC ermöglicht es Unternehmen, den Entwicklungsprozess zu optimieren, indem die Ursachen von Sicherheitsproblemen so früh wie möglich angegangen werden. Es ist wichtig, daran zu denken, dass sicherheitsrelevante Maßnahmen nicht mit dem Abschluss der Entwicklungsphase enden sollten. Die Sicherheit sollte ein unverzichtbarer Bestandteil der gesamten Betriebsphase sein. Mit dem Wachstum eines Unternehmens ist es empfehlenswert, den Reifegrad Ihrer Sicherheitspraktiken voranzutreiben.
* Dmytro Tereshchenko ist Leiter der Abteilung für Informationssicherheit bei der Sigma Software Group. Treffen Sie das Team von Sigma Software auf der IAA Mobility 2023.
(ID:49667274)
:quality(80)/p7i.vogel.de/wcms/44/75/4475df87014c1375344e8b82ed6e22dc/0110161453.jpeg "Licht im Tunnel: Shift-Left und Shift-Right schaffen in der Softwareentwicklung einen Schulterschluss von Sicherheit und Agilität. (Bild: <a href=https://unsplash.com/@alexandermils>Alexander Mils</a>)")
:quality(80)/p7i.vogel.de/wcms/ca/55/ca5573d3948d96015ada13227ee06872/0112429602.jpeg "Das Secure Software Development Framework v1.1 besteht aus 42 sogenannten Tasks, die sich auf 19 praktische Empfehlungen verteilen. (Bild: <a href=https://pixabay.com/users/thedigitalartist-202249/>Pete Linforth</a>)")