:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453e9510c0b5ec232436c67b757ec4c/0109343935.jpeg "Die Nonce sorgt für Ordnung innerhalb einer Blockkette, lässt sich aber auch aktiv für sicherheitsrelevante Aktivitäten nutzen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/14/c614e97ce76ae02ed694f2660dee3efc/0110374544.jpeg "WebGoat ist eine bewusst unsicher konzipierte Docker-Anwendung. (Bild: © – anttoniart – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/12/b4126a87dc658d03d79de40f241b3738/0110245419.jpeg "Beim „Green Coding“ geht es darum, Software möglichst energieeffizient und damit nachhaltig zu programmieren. (Bild: © – ArtemisDiana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/6e/456e267b716932fdb332be968e593118/0110255660.jpeg "Das britische Königshaus schützt seine Kronjuwelen – die Schätze der englischen Monarchie, die aus mehr als 100 Objekten mit einem geschätzten Wert in Milliardenhöhe bestehen – mit weltweit erstklassigen Sicherheitssystemen, darunter zwei Tonnen schwere Stahltüren und bombensicheres Glas. (Symbolbild:tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/47/7f47414337bafb5fa6a0cac40dce6101/0109278962.jpeg "Die Möglichkeiten von Sysbox im Überblick. (Bild: <a href=https://github.com/nestybox/sysbox/tree/master/docs/figures>Nestybox via GitHub</a>)")
„Next Generation runC“ für eigene Container nutzen :quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/2e/d9/2ed91d40782848e566b17756be9d0be0/0109334017.jpeg "Autoscaling steht im Gegensatz zum klassischen Hosting, für welches ein festgelegtes Leistungskontingent gebucht wird. (Bild: <a href=https://unsplash.com/de/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/dc/e1/dce1c2250d49f0b6068cfd98483a94ae/0109808486.jpeg "Auf dem Radar: Frost&Sullivan untersucht Cloud Native Application Protection Platforms (CNAPP). (Bild: frei lizenziert: OpenClipart-Vectors)")
:quality(80)/p7i.vogel.de/wcms/4b/5f/4b5f3bc0250747a0be176f75251b855b/0109875780.jpeg "Um die Komplexität dynamischer Cloud-Bereitstellung zu durchblicken, sollten Verantwortliche geeignete Hilfsmittel strategisch einsetzen. Das schlägt sich dann auch schnell in barer Münze nieder. (Bild: 2ragon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/66/99664bb4deaa0658bb63829dc519ce37/0109263207.jpeg "Kein Ansatz für sich allein genommen eignet sich perfekt zur Produktivitätsmessung. Doch es stehen Optionen bereit, die sich den Anforderungen nähern können. (Bild: <a href=https://pixabay.com/users/tumisu-148124/>Tumisu</a>)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351a0c0c6dad9d13c882bd69ee6ca42/0110012670.jpeg "Modelldatei zur Repräsentation des Schemas. (Bild: Krypzcyk & Bochkor / DbSchema)")
:quality(80)/p7i.vogel.de/wcms/e3/de/e3de24c10c696d41a2d2533020b59380/0109751159.jpeg "Vor dem Einsatz eines API-Typs sollte man die verfügbaren Ressourcen analysieren und die Anforderung der Anwendung genau definieren. (Bild: © vector_v - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/69/8c69011ea441f70be8b619b91f24d294/0110241904.jpeg "Einstein GPT ist laut Salesforce die erste generative KI für CRM. (Bild: Salesforce)")
:quality(80)/p7i.vogel.de/wcms/64/91/6491be5132b77668c299ce6e466ca14c/0109296609.jpeg "Microcontroller-Boards gibt es zuhauf, wir stellen einige Arduino-Alternativen vor. (Bild: <a href=https://pixabay.com/users/aakelner-9429309/>Alexander Kelner</a>)")
:quality(80)/p7i.vogel.de/wcms/98/6e/986e5cd88216694a387f05aa50bfdb02/0110358940.jpeg "„So lösen Legacy-Systemen mit High-Performance Low-Code ab“, ein Interview von Oliver Schonschek, Insider Research, mit Lars Klein von S&D Software und Patrick Knapp von OutSystems. (Bild: Vogel IT-Medien / OutSystems / S&D Software / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/a6/e1/a6e15b9f1a94c153e82d548c3dd90e61/0109476138.jpeg "Die Portabilität und Interoperabilität von Container-Technologien sind die wichtigsten Kernziele der Open-Container-Initiative. (Bild: <a href=https://www.pexels.com/@dibert/>David Dibert</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Zu viele triviale Defekte – (noch) kein Grund zur Panik Überdruss beim Schwachstellen-Management vermeiden
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
Werden Security-Tools unangemessen oder falsch eingesetzt, führt das potenziell dazu, dass Entwickler mit Software-Defekten überflutet werden. Zu wissen, wann und wie man diese Tools am besten nutzt, macht DevSecOps effektiver.
Sicherheitsexperten weisen schon lange darauf hin: es gibt nicht das magische Software-Testing-Tool oder das eine Verfahren, mit denen sich jeder Fehler und jede Schwachstelle aufdecken lassen. Dazu braucht man unterschiedliche Tools, die zu unterschiedlichen Zeiten im Softwareentwicklungszyklus (Software Development Life Cycle, SDLC) zum Einsatz kommen.
Nutzt man solche Tools aber nicht korrekt und zum falschen Zeitpunkt, identifizieren sie eine überwältigende Zahl potenzieller Schwachstellen. Etliche davon sind für ein konkretes Projekt unter Umständen vergleichsweise unbedeutend oder gar irrelevant. Für Entwicklungsteams ist diese Flut derart frustrierend, dass sie Warnungen oftmals ignorieren oder Tools sogar deaktivieren. Das beeinträchtigt die Sicherheit an just der Stelle, an der sie eigentlich verbessert werden soll.
Genau darin liegt eine der größten Herausforderungen, wenn es um eingebettete DevOps-Sicherheit und eine effektive DevSecOps-Strategie geht. In jeder Phase der Pipeline oder sogar im gesamten SDLC gibt es eine Reihe von Sicherheitskontrollen. Und bei jeder einzelnen wird man vermutlich auf Schwachstellen stoßen. Das führt nicht selten zu einer Überlastung, was die Meldung solcher Defekte anbelangt.
Inzwischen ist die Liste von DevSecOps-Testtools und weiteren Sicherheitsaufgaben Standard. Zu Beginn sollten Sicherheitsteams zusammen mit Produktteams eine Bedrohungs- und Risikoanalyse durchführen. Beide sind abhängig von der Art der Anforderungen, die an eine Anwendung gestellt und der Art von Eingaben, die verarbeitet werden sollen. Eine Webseite, die Benutzereingaben, einschließlich persönlicher und finanzieller Daten verwendet, hat strengere Sicherheitsanforderungen als eine, die lediglich Informationen wie beispielweise zu Unternehmensstandorten bereitstellt.
Während des Codierungs- und Build-Prozesses sind automatisierte Testmittel wie statische, dynamische und interaktive Analysen in der Lage, Fehler und andere Defekte aufzudecken, die potenziell ausgenutzt werden. Mittels Fuzz-Testing überprüft man wie eine Software auf zufällige, fehlerhafte Eingaben reagiert. Mithilfe der Software Composition Analysis (SCA) findet man wiederum Open-Source-Komponenten, die Sicherheitsmängel aufweisen oder bei denen potenzielle Lizenzkonflikte auftreten.
Am Ende des Prozesses dienen Penetrationstests dazu, eine Anwendung so anzugreifen wie es ein Hacker tun würde. Dadurch werden die verbleibenden kritischen Schwachstellen identifiziert bevor die Anwendung in Serie geht.
DevSecOps-Security Tools konfigurieren
Diese Tools und Methoden sind wichtig, will man die Sicherheit einer Anwendung bereits während der Entwicklung verbessern. Die Tools sollten aber so konfiguriert sein, dass sie nur Fehler markieren, die für ein bestimmtes Projekt relevant und ausschlaggebend sind. Sonst führen sie am Ende zu Problemen und Reibungsverlusten, und die verlangsamen die Entwicklung.
Eben dies kann sich allerdings kein DevOps-Entwicklungsteam leisten. Ein gutes Schwachstellen-Management verspricht Abhilfe zu schaffen. Die widersprüchlichen Prioritäten von Geschwindigkeit auf der einen und Sicherheit auf der anderen Seite stellen das Schwachstellen-Management allerdings vor eine Reihe von Herausforderungen.
Es ist zwar möglich, ein Tool so zu konfigurieren, dass es nur als kritisch eingestufte Defekte aufdeckt. Jedes Projekt ist allerdings unterschiedlichen Risiken ausgesetzt. Folglich bewertet man unterschiedliche Dinge als kritisch. Zudem erfordert eine kritische Schwachstelle, die bei einem Penetrationstest gefunden wird, eine andere Art von Handlungsbedarf als eine kritische Schwachstelle in der Code-Analyse.
Man braucht qualifizierte Fachkräfte und viel Zeit, um jedes laufende Projekt so zu analysieren und zu konfigurieren, dass es tatsächlich nur noch kritische Schwachstellen aufweist, und man auch den Projektkontext nicht außer Acht lässt.
Was DevSecOps-Security-Tools tun
Kein Tool allein deckt sämtliche Arten von Schwachstellen auf. Statische Analysen (Static Analysis Security Testing, SAST), dynamische Analysen (Dynamic Analysis Security Testing, DAST) und SCA (Software Composition Analysis) identifizieren unterschiedlich gelagerte Probleme. Und es sind nicht nur SAST, DAST und SCA Tools – es gibt weitere mehr, die in den verschiedenen Phasen des SDLC eingesetzt werden.
Eine weitere Herausforderung besteht darin, dass jedes einzelne Tool und jede Aktivität in der Pipeline andere Fähigkeiten, Artefakte und Zeitaufwand verlangen. Eine Bedrohungsanalyse beispielsweise erfordert manuellen Aufwand und qualifizierte Fachkräfte. Dasselbe gilt für die Risikoanalyse. Bei der statischen Analyse hingegen konfiguriert man ein Tool, das den Testprozess automatisiert. Aber selbst dann findet die statische Analyse nicht alle Probleme.
Eine 100-prozentige Abdeckung aller Schwachstellen im Source Code, in den Open Source-Komponenten und innerhalb der gesamten Infrastruktur würde deutlich zu viele Ressourcen verschlingen und zu viele unterschiedliche Erkennungsmethoden erfordern. Für Entwicklungs- und Sicherheitsteams, die in einer DevSecOps-Umgebung zusammenarbeiten, stellt sich eine offensichtliche Frage: Wie können wir das scheinbar Unmögliche schaffen – nämlich einen „digitalen Sack Flöhe“ zu hüten?
Das Risikoprofil einer Anwendung verstehen
Zu Beginn sollte man sich mit dem „Risikoprofil“ einer Anwendung vertraut machen. Eine Anwendung, die Benutzereingaben akzeptiert und verarbeitet, macht strengere Sicherheitsvorkehrungen erforderlich als eine, die weniger sensible Informationen zur Verfügung stellt. Danach ist es wichtig zu verstehen, welche Arten von Schwachstellen die verschiedenen Tools überhaupt finden können.
In der Praxis hat sich gezeigt, dass Entwicklungsteams oftmals nicht genau wissen wie einzelne Tools konzeptuell arbeiten. Die Folge ist nicht selten, dass alle gleichzeitig laufen. Sobald Entwickler aber verstehen, wie die Tools funktionieren, und dass eventuell nicht jedes von ihnen für ein bestimmtes Projekt notwendig ist, lässt sich der „Defect Overload“ beseitigen.
Angenommen, Cross-Site-Scripting (XSS) und SQL-Injection gelten in einer bestimmten Anwendung als kritische Schwachstellen. Dann konfiguriert das Entwicklungsteam ein SAST-Tool so, dass es genau nach diesen Schwachstellen sucht und den Rest ignoriert. Wenn ein SAST-Tool dann eine oder beide Schwachstellen aufdeckt, benutzt man dieses Ergebnis anschließend als Payload für DAST oder ein interaktives Application Security Testing (IAST).
DAST und IAST werden so konfiguriert, dass sie nicht sämtliche Probleme finden, die sie finden können, sondern sie konzentrieren sich auf die beiden als kritisch eingestuften Schwachstellen und nichts sonst. DAST und vor allem IAST finden diese Schwachstellen mit einer ziemlich hohen Wahrscheinlichkeit. Anschließend lässt sich im Defect-Tracking-System des Unternehmens ein Ticket erstellen – z. B. in Jira. Der Prozess wäre ein völlig anderer, wenn die Bedrohungs- und Risikoanalyse einen Designfehler aufdecken, wie z.B. eine fehlerhaft erstellte Anwendung.
Wenn man statt Verschlüsselung Hashing für Passwörter verwendet, wird keine der beschriebenen Testtechniken in der Lage sein, etwas zu finden. Checkt der Entwickler dann seinen Code ein und gibt an, die API korrigiert zu haben, sollte die Pipeline intelligent genug sein, eine Codeüberprüfung vorzuschlagen. Ist das nicht der Fall, muss der Entwickler jemanden wissen lassen, dass hier eine kritische API geändert wurde, die überprüft werden muss.
Automatisierung einsetzen
Mit der richtigen Kombination aus DevSecOps-Tools und anderen Defect-Discovery-Methoden sowie der Automatisierung bestimmter Aktivitäten, lässt sich ein ROI erzielen und Teams entlasten. Aber es gibt auch Beispiele wie man es nicht machen sollte: ein Entwicklungsteam hat eine Back-End-Messaging-API entwickelt, ohne eine Datenbank zu verwenden und ohne ein Frontend. Dennoch testet das Team gegen die Top 10 des Open Web Application Security Project (OWASP).
Dies ist eine bekannte und hilfreiche Zusammenstellung von wichtigen Schwachstellen, aber für dieses spezielle Projekt irrelevant. Es ist wichtig, dass alles, was Entwickler in der Planungsphase tun, auch in alle anderen Testaktivitäten einfließt. Aber wenn es auf dem Backend keine Datenbank gibt, macht es vergleichsweise wenig Sinn, nach einer SQL-Injection zu suchen.
Defektüberlastung vermeiden
Entwickler sind überfordert, wenn unterschiedliche Erkennungsmethoden wie SAST, DAST und Penetrationstests alle die gleichen Fehler melden und für alle Tickets erstellen. Die Frustration kann so weit gehen, dass im Dashboard für die statische Analyse alle Tickets als False-Positive deklariert werden. Einfach, weil ein Team sich von der Vielzahl der Störungen komplett überfordert fühlt. Ein Beispiel aus der Praxis übrigens.
Diese „Problemumgehung“ wurde im konkreten Fall erst aufgedeckt, als gegen Ende des SDLC ein Pen-Testing-Team einige kritische XSS-Schwachstellen auflistete. Schwachstellen, die eine statische Analyse normalerweise aufdeckt. Das für die Softwaresicherheit zuständige Team fragte nach, warum keine statische Analyse durchgeführt wurde; schließlich sei das Tool besonders leistungsfähig darin, XSS-Schwachstellen zu finden.
Bei genauerem Hinsehen stellte sich heraus, dass das Tool die besagten Schwachstellen sehr wohl gefunden hatte, diese aber als False Positives markiert wurden. Das Problem konnte man anschließend mithilfe einer zusätzlichen Methode beheben: In Zukunft würde jede kritische Schwachstalle als solche markiert werden. Und zwar auch dann, wenn sie als False-Positive-Meldung gekennzeichnet wäre.
Diese Situation verdeutlicht, welche Auswirkungen ein Defect Overload haben kann. Wenn Security-Tools nicht ordnungsgemäß konfiguriert werden, überlasten sie die Entwicklungsteams bis zu dem Punkt, an dem sie Warnungen ignorieren oder sogar blockieren. Das verbessert die Sicherheit nicht, es untergräbt sie.
Im Endeffekt geht es darum, Unternehmen dabei zu unterstützen, kritische Defekte zunächst zuverlässig und schnell zu identifizieren und anschließend zu beheben. Auf diese Weise gewährleistet man Sicherheit, ohne die Entwicklung auszubremsen.
* Stanislav Sivak arbeitet bei Synopsys.
(ID:47080879)
:quality(80)/images.vogel.de/vogelonline/bdb/1896600/1896690/original.jpg "Wenn es um die Sicherheit der eigenen Apps geht, sind Unternehmen sparsam. (Wellnhofer Designs - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904585/original.jpg "Im „2021 Software Vulnerability Snapshot“ geht Synopsys auf die Schwachstellen ein, die mithilfe verschiedener Testmethoden bei Kunden gefunden wurden. (Synopsys)")