:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/6e/a8/6ea8547b0fb110921fb8b4b40e9c7eb9/0114132511.jpeg "Eine simple Slideshow samt Vollbildmodus? Kein Problem für Bard und GPT-4. (Bild: Rentrop)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/20/a8/20a8a156f7da6e4f19c9243209dae51b/0113707453.jpeg "Die Zahl der Jenkins-Pipelines legte zwischen Juni 2021 und Juni 2023 deutlich zu. (Bild: Jenkins.io)")
:quality(80)/p7i.vogel.de/wcms/fa/66/fa667ce27d791e4d93731d0f17c58825/0113614284.jpeg "Freelance-Plattformen sollten nicht nur umfangreiche, sondern auch verlässliche Informationen über die Fähigkeiten der jeweiligen Entwickler bieten. (Bild: <a href=https://pixabay.com/users/oleksandrpidvalnyi-4638469/>Oleksandr Pidvalnyi</a>)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/73/e2/73e2407821e9b97926d18c786b43a1dc/0113715722.jpeg "Rendered Text hat sich Gedanken zu den 12 besten Kubernetes-Tools gemacht. (Bild: <a href=https://unsplash.com/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/6b/e3/6be36ef98e76a698de9c93b777c7b38f/0113606383.jpeg "Kollaborativ, ressourcenschonend, transparent: Open-Source-Code folgt in vielerlei Hinsicht dem Gedanken der Nachhaltigkeit. (© weerapat1003 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/3c/b7/3cb778bf0cf16cf4172cb4d902bcb933/0113979637.jpeg "Der 2023 Cloud Developer Survey Report berichtet, was Entwickler, Architekten und andere Cloud-Experten über den aktuellen Stand der Branche denken. (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/93/d5/93d5fd1b87f3649ef503933d229c71dc/0113760310.jpeg "Kein Grund mehr zu kämpfen: Die Frage, ob quelloffener Code sicherer als proprietärer Code ist, stellt sich eigentlich gar nicht mehr. (Bild: <a href=https://pixabay.com/users/tenleaf-6286534/>Yingnan Lu</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Die Sache mit der Sicherheit – von DevOps zu DevSecOps Warum sich ein „Shift Left“ lohnt
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Trotz kurzer Release-Zyklen und DevOps-Methoden darf die Sicherheit von Anwendungen nicht auf der Strecke bleiben. Wer Security in die Continuous-Integration und -Delivery-Pipeline und somit früh im Entwicklungsprozess verankert, schützt sich vor bösen Überraschungen.
Digitalunternehmen sehen sich heute einem enormen Zeit- und Innovationsdruck ausgesetzt. Dagegen werden immer öfter agile Strategien und DevOps-Konzepte in Stellung gebracht. Das führt neben der erwünschten Geschwindigkeitssteigerung jedoch auch zu Problemen: Unter anderem steigt das Risiko für Sicherheitslücken.
Meist werden diese auch erst in den letzten Zügen der Software-Entwicklung identifiziert, was die Behebung solcher Fehler verkompliziert und teuer macht. Dazu kommt das oft immer noch ausgeprägte Silodenken, sodass Entwicklungs- und Sicherheits-Teams isoliert und nicht kombiniert arbeiten.
Die Risiken des DevOps-Ansatzes
Die Schnelligkeit ist ohne Frage die große Stärke von DevOps. Doch überall wo schnell gearbeitet wird, kann darunter die Sicherheit leiden. Dass möglichst schnellen Release-Zyklen alles untergeordnet wird, kann man durchaus kritisch sehen. Was nutzt es schließlich, stets die neueste App zu haben, wenn diese unsicher ist? Ein weiterer Aspekt ist die Arbeit in der Cloud, die zu DevOps dazu gehört.
Viele der verwendeten Tools zeichnen sich durch inkonsistente Standards, Logging-Formate und API-Hooks aus, wodurch es schwierig werden kann, den Überblick über die zahlreichen Komponenten zu behalten, die eine voll funktionsfähige App ausmachen. Der Cloud-Ansatz führt auch dazu, dass Teams über mehrere Standorte verteilt sein können. Neben diversen Vorteilen kann das aber auch dazu führen, dass mitunter nicht alle Team-Mitglieder die gleichen Tools verwenden, was zu weiteren Inkonsistenzen führt.
DevOps zeichnet sich außerdem durch die Verwendung von Open-Source-Bibliotheken aus. Trotzdem ist der darin enthaltene Code nicht per se sicher. Bei der klassischen Arbeitsweise fällt das allerdings nicht direkt auf, sondern erst bei abschließenden Scans.
Was sich ändern muss
Um eine nahtlose Anwendungssicherheit zu gewährleisten, müssen Unternehmen ihre Sicherheitsstrategie überdenken. Security Planning und Security Checks sollten priorisiert werden und in die Continuous Integration und Continuous Delivery (CI/DC) Pipelines integriert werden. Durch diese Integration wird die Verzahnung von Entwicklung und Betrieb (DevOps) noch um den Sicherheitsaspekt ergänzt, sodass daraus DevSecOps entsteht. Um das zu verwirklichen sollten Unternehmen besonders diese Punkte beachten:
- Sicherheit tief im Entwicklungszyklus verankern: In den meisten IT-Unternehmen arbeiten wesentlich mehr Entwickler als Sicherheitsfachleute. Da die Ressourcen dieser Experten begrenzt sind, lohnt es sich, auch die Entwickler in Sicherheitsthemen zu schulen, sodass diese ihren eigenen Code besser beurteilen können.
Außerdem entspricht das einer der Kernanforderungen von DevOps, nämlich Silos zwischen den verschiedenen Bereichen aufzubrechen. Neben der entsprechenden Schulung benötigen Entwickler allerdings auch die richtigen Tools, die in Echtzeit bei der Identifikation potentieller Schwachstellen helfen.
- Kontinuierliches Testing etablieren: Statisches Testing hat sich in der Anwendungssicherheit als sehr erfolgreich erwiesen. Mit dieser Methode ist es möglich, Risiken sehr früh im Software-Lebenszyklus zu erkennen und die Ursachen festzustellen. Im Gegensatz zu dynamischen Verfahren muss beim statischen Testing die Software noch nicht ausgeführt werden und es wird der Quellcode direkt analysiert. Implementiert man dazu noch Tools, die Feedback in Echtzeit liefern, können Entwickler damit einen fortlaufenden Testing-Prozess etablieren.
- Sicherheit als Teil des Lifecycle Managements verstehen: Einer der herausragenden Aspekte von DevOps ist die dezentrale Entwicklung. Um dabei aber nicht den Überblick zu verlieren, sind leistungsfähige Tools für das Lifecycle Management notwendig. Bei einem DevSecOps-Ansatz gehören dazu auch Sicherheitsscans, die als Teil des Building-Prozesses ausgeführt werden. Damit lassen sich Sicherheitslücken direkt erkennen und die Entwicklerteams können sie unverzüglich beheben, bevor es zu gravierenden Problemen kommt.
- Testing automatisieren: Wie praktisch überall sind auch in IT-Unternehmen in der Regel die Ressourcen knapp. Daher können automatische Security Tools eine echte Hilfe darstellen. Sicherheitstests sollten daher ebenso automatisiert werden, wie Modultests oder Integrationstests. So lässt sich einerseits die Testfrequenz deutlich steigern, andererseits werden die Mitarbeiter entlastet – und das mit geringfügigen Investitionen.
- Anwendungen nach dem Release überwachen: Runtime Application Self-Protection (RASP) ist ein Toll, das Anwendungen überwacht, die sich bereits in Produktion befinden. Solche Monitoring-Lösungen eignen sich, um Umgebungen vor veränderten Risikoprofilen und Zero-Day-Schwachstellen zu schützen.
Fazit
Um ganzheitliche Sicherheitskonzepte zu etablieren, darf man Security nicht mehr als isolierten Teilbereich betrachten. Stattdessen muss sie bereits zu Beginn der Entwicklung berücksichtigt werden. Dazu sollten Unternehmen auf eine End-to-End-Lösung für Anwendungssicherheit setzen, die den gesamten Lebenszyklus der Software-Entwicklung umfasst.
* Neil Correa ist Cybersecurity Strategist bei Micro Focus.
(ID:46753986)
:quality(80)/p7i.vogel.de/wcms/6c/02/6c029c156afb2f6eef29b1144dc16285/0104735091.jpeg "Mit Continuous Delivery sollen Releases für DevOps-Mitarbeiter besser planbar werden. (© Coloures-Pic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/8b/dd8bdf45a5452802972c54a0c54d85d6/0111382050.jpeg "Für DevOps-Teams stellt der Übergang zu modernen, Cloud-basierten Anwendungsumgebungen eine große Herausforderung dar. (Bild: <a href=https://pixabay.com/users/williamscreativity-17210051/>WilliamsCreativity</a>)")