:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/d8/42/d842e974aba302d38084f99665d5d62b/0115384258.jpeg "API-Sicherheit ist heute Chefsache. CISOs müssen mit den Entwicklerteams den Grundstein für eine sichere IT-Infrastruktur legen und dafür eine Security Policy aufsetzen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/3d/013d3c2912ede4d708738cac59bbd17e/0115123837.jpeg "Die neue Architektur des Data Lakehouses löst die alte Architektur des Data Warehouses ab. (Bild: Databricks )")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Shift-left in der Anwendungsentwicklung, Teil 3 Tools und Toolchains für die DevSecOps-Automatisierung
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Die große Anzahl und die massive Vielfalt an Shift-Left-fähigen DevOps-Tools im Umlauf tragen zur Verwirrung bei. DevOps-Teams haben nicht nur die Qual der Wahl, sie müssen handeln.
Im DevSecOps-Umfeld innovieren und akquirieren Scharen von Anbietern um die Wette. Harness.io hat beispielsweise im März 2022 ChaosNative übernommen, mit dem Ziel, die Praxis der Zufallstests auf Fehler in CI/CD-Pipelines zu übertragen. ChaosNative hatte sich mit einem quelloffenen Chaos-Engineering-Projekt einen Namen gemacht. Noch im selben Monat fügte der Anbieter zwei weitere Shift-Left-Module hinzu, die Sicherheitstest-Orchestrierung und Site-Reliability-Engineering ebenfalls in DevOps-Pipelines einbauen.
Nahezu zeitgleich machte der GitOps-Anbieter Weaveworks seine erste Integration von Policy-as-Code-fähigen Shift-Link-Tools allgemein verfügbar. Die Werkzeuge gehen auf die Übernahme von Magalix zurück. Nur eine Woche später, am 29. März, fügte das französische Startup-Unternehmen namens Cycloid seinem DevOps-Automatisierungsprodukt ein FinOps-Werkzeug für prädiktive Finanzoperationen hinzu
Am selben Tag kündigte der App-Sicherheitsanbieter Contrast Security eine Partnerschaft mit Red Hat an, um seine Shift-Left-Tools in die OpenShift-Plattform zu integrieren. Red Hat hatte bereits ähnliche Integrationen von Partnern wie Snyk und seiner Übernahme von StackRox im Jahr zuvor im Angebot.
Andere DevOps-Produkte von Anbietern wie GitLab und GitHub bis hin zu CloudBees und JFrog betten ihre eigenen „Shift Left“-Funktionen in „End-to-End“-Toolchains für die Softwarebereitstellung ein, da vorgefertigte DevOps-Plattformen in der Branche immer beliebter werden. Auch Cloud-Anbieter bauen Shift-Links-Funktionen in ihre eigenen Pipeline-Tools ein.
Die Redundanz ist mittlerweile eher kontraproduktiv für die Entwicklerinnen und Entwickler – und teuer für die Unternehmen. Wer da überhaupt durchblickt, kann sich glücklich schätzen.
Snyk
Snyk ist ein SAST-Werkzeug (Engl. Static Application Security Testing). Es überprüft Softwarecode auf Schwachstellen hin, ohne dass dieser hierzu erst kompiliert oder ausgeführt werden müsste. Die sogenannte statische Code-Analyse meistern auch zahleiche andere Werkzeuge, darunter Tools wie SonarQube und SonarCloud (für Cloud-basierten Code), Fortify, PMD, FindBugs, Code Dx und viele andere.
Snyk kann zusätzlich zu der betreffenden Codebasis auch Open-Source-Abhängigkeiten, Container und Infrastruktur-als-Code nach Risiken untersuchen. Sollte ein Problem auftreten, meldet sich Snyk direkt in der IDE zu Wort, während Entwickelnde noch an dem Code feilen. Dank eines nativen Git-Scans kann Snyk den Quellcode auf Wunsch kontinuierlich überwachen und den gesamten Entwicklungslebenszyklus absichern.
Reddit, eine der größten Social-Media-Plattformen der Welt für den öffentlichen Diskurs, hat Snyk gewählt, um die Herausforderungen des API-Managements in den Griff zu bekommen. Mit dem Wachstum des Unternehmens explodierte die Anzahl der Code-Repositories und die Breite der Technologien, auf denen die Reddit-Plattform aufbaut.
Reddit hatte anfangs nur ein kleines „Sicherheitsteam“, welches aus einer Person bestand und nahezu 600 Ingenieure unterstützen musste. Da die Snyk-Plattform bei ReddIt bereits für die Analyse der Softwarezusammensetzung zuständig war, war die Integration über eine APIs schon recht naheliegend.
Reddit gelang es kurzerhand, die eigene CI/CD-Pipeline via Snyk an GitHub Enterprise (GHE) anzubinden. Das Ziel der Integration bestand in erster Linie darin, Softwareverwundbarkeiten in quelloffenen Abhängigkeiten der eigenen Plattform durch Pull-Anfragen zu bereinigen. Nachdem ReddIt die eigenen Repos auf Vordermann gebracht hatte, konnte es die Integration so umkonfigurieren, dass neue Pull-Anfragen fehlschlagen würden, sollte Snyk in dem betreffenden Projekt eine Verwundbarkeit aufdecken. So wollte man Supply-Chain-Verwundbarkeiten einen Riegel vorschieben.
Zusätzlich zu der direkten Nutzung der Snyk-API hat Reddit auch den Python-Wrapper von Snyk im Einsatz. Da ein großer Teil des Technologie-Stacks von Reddit aus Python besteht, kann der pysnyk-Client tiefer in bestehende Entwickler-Tools der ReddIt-Pipeline greifen. Diese enge Integration hat die Reibungsverluste verringert und die Übernahme der Snyk-Plattform in den Arbeitsablauf der Entwickler enorm beschleunigt. Dadurch konnte das Sicherheitsteam von Reddit unmittelbare Einblicke in die Risiken von Anwendungsschwachstellen gewinnen.
Reddit nutzt pysnyk unter anderem auch zur Automatisierung von „Großaktionen“. So kann das Unternehmen etwa Probleme unterdrücken, die in Codebasen von Drittanbietern oder in Open-Source-Projekten gemeldet wurden, jedoch für Reddit keine Relevanz haben. Seine gelungene GHE-Integration hat ReddIt inzwischen der AppSec-Gemeinde zur Verfügung gestellt.
Reddit hat außerdem snyk-sync entwickelt, eine Lösung, die jede Woche einen Cron-Job ausführt, welcher alle Änderungen mit den GHE-Repositories abgleicht. Zu diesen Aktualisierungen gehören das Hinzufügen neuer oder das Entfernen defekter Repos, das Festlegen geeigneter GHE-Integrationseinstellungen und die Ausgabe einer Benachrichtigung, sollte sich einmal ein manueller CI-Schritt mit Snyk CLI als erforderlich erweisen. Die Automatisierung hat den operativen Aufwand reduziert und die Gesamtbetriebskosten für die Einführung der Snyk-Plattform gesenkt, berichten die Reddit-Verantwortlichen.
Spectral
Spectral automatisiert das Scannen einer Softwarebasis nach den sogenannten Secrets (Zugriffsgeheimnissen), ohne die Programmierung zu unterbrechen und die Abarbeitung der CI/CD-Aufgaben zu beeinträchtigen. Bei den sogenannten Secrets ist von geheimen Nachweisen der Nutzungsberechtigung zum Zugriff auf eine API oder auf einen Dienst die Rede.
Die Bekanntmachung der sogenannten Secrets zählt zu den häufigsten Sicherheitslücken mit den kostspieligsten Folgen. Spectral kann seine Arbeit kontinuierlich im Hintergrund verrichten und ist nicht auf bestimmte Sprachen beschränkt.
Mend (WhiteSource) Bolt
Mend Bolt (zuvor als WhiteSource Bolt bekannt) sucht nach Schwachstellen in Open-Source-Komponenten und kann nebenbei auch Lizenzrisiken entschärfen. Automatische Aktualisierungen der Projektabhängigkeiten meistert Mend Renovate; für die Abwehr von Cyberattacken aus der Software-Versorgungskette fühlt sich Mend Supply Chain Defender zuständig.
Mend Bolt glänzt mit einer bestechend simplen Integration in Azure-Pipelines. Auf AWS ist die Software im Marketplace verfügbar. Zu den Nutzern von WhiteSource Bolt zählen unter anderem Microsoft, SAP und Vodafone. WhiteSource Bolt integriert sich mit Microsoft Azure und GitHub. Der besondere Reiz dieser Lösung besteht darin, dass sie auch in der kostenfreien Edition für quelloffene Projekte bereits recht umfassend zur Sache geht.
DeepSource
DeepSource hat sich auf Shift-Left-Testing spezialisiert. Das Unternehmen verweist auf über dreitausend Kunden, von Intel über die NASA bis hin zu Moody‘s Analytics. Das Tool macht, was sein Name verspricht: Es untersucht jede Pull-Anfrage, taucht tief in die Codebasis herunter, um Supply-Chain-Verwundbarkeiten zuvorzukommen. Ziel ist, den gesamten Technologiestack zu schützen.
Das Werkzeug liefert aufschlussreiche Metriken über den Zustand des Code mit Schwerpunkt auf dessen Qualität und Leistung. Die AutoFix-Funktion schlägt eine Lösung für erkannte Probleme vor. DeepSource integriert sich mit GitHub, GitLab oder BitBucket und ist für quelloffene Projekte kostenlos. Die Geschäftslogik des Unternehmens läuft auf der Google Cloud Platform.
Fazit
Für menschliches Fachwissen, menschliche Kreativität und Anpassungsfähigkeit mag es keinen Ersatz geben, aber automatische Tools zum Scannen von Code und zur Sicherheitsprüfung sind dennoch unersetzlich. Sie sorgen für mehr Konsistenz, bringen den Ball schneller ins Rollen und versuchen sich an den größten wie auch den geringsten Problemen zielstrebig und unermüdlich.
Neben Code-Audits und -Prüfungen helfen automatische Analysetools unter anderem auch dabei, Schwachstellen in der Codebasis, den Abhängigkeiten und der bereitgestellten Anwendung oder dem Dienst zu verhindern.
Entwickler können ihre Code-Änderungen durch kontinuierliches Testen, kontinuierliche Integration und kontinuierliche Bereitstellung in automatisierten Pipelines mit geeigneten Tools schneller „probefahren“ als diese jemals manuell gelingen könnte. Das führt zu besseren Geschäftsergebnissen und einer höheren Zufriedenheit der Nutzer und der Kunden. Mit Shift-Left-Testing können Entwickler einen Gang höher schalten.
(ID:49234028)
:quality(80)/p7i.vogel.de/wcms/5b/f2/5bf29ffbaac7922af883681a80143b3e/0108866144.jpeg "Angriffe auf die Software Supply Chain machen deutlich: Unternehmen können sich nicht mehr blind darauf verlassen, dass Code-Komponenten die sie nutzen auch sicher sind. (Bild: Eisenhans - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/84/bd84a42749a528eaa94f513429d8f9f0/0110156993.jpeg "Links auf der Überholspur: Shift-Left-Testing macht effiziente DevSecOps-Workflows erst überhaupt möglich. Hier durchdringt kontinuierliches Testen die kontinuierliche Entwicklung (Dev), Sicherheit (Sec) und Bereitstellung (Ops). (Bild: <a href=https://www.pexels.com/de-de/@taras-makarenko-188506/>Taras Makarenko</a>)")