:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453e9510c0b5ec232436c67b757ec4c/0109343935.jpeg "Die Nonce sorgt für Ordnung innerhalb einer Blockkette, lässt sich aber auch aktiv für sicherheitsrelevante Aktivitäten nutzen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/b4/12/b4126a87dc658d03d79de40f241b3738/0110245419.jpeg "Beim „Green Coding“ geht es darum, Software möglichst energieeffizient und damit nachhaltig zu programmieren. (Bild: © – ArtemisDiana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/6e/456e267b716932fdb332be968e593118/0110255660.jpeg "Das britische Königshaus schützt seine Kronjuwelen – die Schätze der englischen Monarchie, die aus mehr als 100 Objekten mit einem geschätzten Wert in Milliardenhöhe bestehen – mit weltweit erstklassigen Sicherheitssystemen, darunter zwei Tonnen schwere Stahltüren und bombensicheres Glas. (Symbolbild:tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/84/bd84a42749a528eaa94f513429d8f9f0/0110156993.jpeg "Links auf der Überholspur: Shift-Left-Testing macht effiziente DevSecOps-Workflows erst überhaupt möglich. Hier durchdringt kontinuierliches Testen die kontinuierliche Entwicklung (Dev), Sicherheit (Sec) und Bereitstellung (Ops). (Bild: <a href=https://www.pexels.com/de-de/@taras-makarenko-188506/>Taras Makarenko</a>)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/2e/d9/2ed91d40782848e566b17756be9d0be0/0109334017.jpeg "Autoscaling steht im Gegensatz zum klassischen Hosting, für welches ein festgelegtes Leistungskontingent gebucht wird. (Bild: <a href=https://unsplash.com/de/@growtika>Growtika</a>)")
Möglichkeiten der K8s-Autoskalierung im Überblick :quality(80)/p7i.vogel.de/wcms/dc/e1/dce1c2250d49f0b6068cfd98483a94ae/0109808486.jpeg "Auf dem Radar: Frost&Sullivan untersucht Cloud Native Application Protection Platforms (CNAPP). (Bild: frei lizenziert: OpenClipart-Vectors)")
:quality(80)/p7i.vogel.de/wcms/4b/5f/4b5f3bc0250747a0be176f75251b855b/0109875780.jpeg "Um die Komplexität dynamischer Cloud-Bereitstellung zu durchblicken, sollten Verantwortliche geeignete Hilfsmittel strategisch einsetzen. Das schlägt sich dann auch schnell in barer Münze nieder. (Bild: 2ragon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/66/99664bb4deaa0658bb63829dc519ce37/0109263207.jpeg "Kein Ansatz für sich allein genommen eignet sich perfekt zur Produktivitätsmessung. Doch es stehen Optionen bereit, die sich den Anforderungen nähern können. (Bild: <a href=https://pixabay.com/users/tumisu-148124/>Tumisu</a>)")
:quality(80)/p7i.vogel.de/wcms/92/04/92040188bf6a5759c92127a77dc7ecf6/0110148626.jpeg "Die Einführung digitaler Innovationen muss den Praxisalltag erleichtern und darf nicht zu einem
Mehraufwand führen (Bild: contrastwerkstatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351a0c0c6dad9d13c882bd69ee6ca42/0110012670.jpeg "Modelldatei zur Repräsentation des Schemas. (Bild: Krypzcyk & Bochkor / DbSchema)")
:quality(80)/p7i.vogel.de/wcms/e3/de/e3de24c10c696d41a2d2533020b59380/0109751159.jpeg "Vor dem Einsatz eines API-Typs sollte man die verfügbaren Ressourcen analysieren und die Anforderung der Anwendung genau definieren. (Bild: © vector_v - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/91/6491be5132b77668c299ce6e466ca14c/0109296609.jpeg "Microcontroller-Boards gibt es zuhauf, wir stellen einige Arduino-Alternativen vor. (Bild: <a href=https://pixabay.com/users/aakelner-9429309/>Alexander Kelner</a>)")
:quality(80)/p7i.vogel.de/wcms/98/6e/986e5cd88216694a387f05aa50bfdb02/0110358940.jpeg "„So lösen Legacy-Systemen mit High-Performance Low-Code ab“, ein Interview von Oliver Schonschek, Insider Research, mit Lars Klein von S&D Software und Patrick Knapp von OutSystems. (Bild: Vogel IT-Medien / OutSystems / S&D Software / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/a6/e1/a6e15b9f1a94c153e82d548c3dd90e61/0109476138.jpeg "Die Portabilität und Interoperabilität von Container-Technologien sind die wichtigsten Kernziele der Open-Container-Initiative. (Bild: <a href=https://www.pexels.com/@dibert/>David Dibert</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Die Sache mit der Sicherheit – von DevOps zu DevSecOps Warum sich ein „Shift Left“ lohnt
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
Trotz kurzer Release-Zyklen und DevOps-Methoden darf die Sicherheit von Anwendungen nicht auf der Strecke bleiben. Wer Security in die Continuous-Integration und -Delivery-Pipeline und somit früh im Entwicklungsprozess verankert, schützt sich vor bösen Überraschungen.
Digitalunternehmen sehen sich heute einem enormen Zeit- und Innovationsdruck ausgesetzt. Dagegen werden immer öfter agile Strategien und DevOps-Konzepte in Stellung gebracht. Das führt neben der erwünschten Geschwindigkeitssteigerung jedoch auch zu Problemen: Unter anderem steigt das Risiko für Sicherheitslücken.
Meist werden diese auch erst in den letzten Zügen der Software-Entwicklung identifiziert, was die Behebung solcher Fehler verkompliziert und teuer macht. Dazu kommt das oft immer noch ausgeprägte Silodenken, sodass Entwicklungs- und Sicherheits-Teams isoliert und nicht kombiniert arbeiten.
Die Risiken des DevOps-Ansatzes
Die Schnelligkeit ist ohne Frage die große Stärke von DevOps. Doch überall wo schnell gearbeitet wird, kann darunter die Sicherheit leiden. Dass möglichst schnellen Release-Zyklen alles untergeordnet wird, kann man durchaus kritisch sehen. Was nutzt es schließlich, stets die neueste App zu haben, wenn diese unsicher ist? Ein weiterer Aspekt ist die Arbeit in der Cloud, die zu DevOps dazu gehört.
Viele der verwendeten Tools zeichnen sich durch inkonsistente Standards, Logging-Formate und API-Hooks aus, wodurch es schwierig werden kann, den Überblick über die zahlreichen Komponenten zu behalten, die eine voll funktionsfähige App ausmachen. Der Cloud-Ansatz führt auch dazu, dass Teams über mehrere Standorte verteilt sein können. Neben diversen Vorteilen kann das aber auch dazu führen, dass mitunter nicht alle Team-Mitglieder die gleichen Tools verwenden, was zu weiteren Inkonsistenzen führt.
DevOps zeichnet sich außerdem durch die Verwendung von Open-Source-Bibliotheken aus. Trotzdem ist der darin enthaltene Code nicht per se sicher. Bei der klassischen Arbeitsweise fällt das allerdings nicht direkt auf, sondern erst bei abschließenden Scans.
Was sich ändern muss
Um eine nahtlose Anwendungssicherheit zu gewährleisten, müssen Unternehmen ihre Sicherheitsstrategie überdenken. Security Planning und Security Checks sollten priorisiert werden und in die Continuous Integration und Continuous Delivery (CI/DC) Pipelines integriert werden. Durch diese Integration wird die Verzahnung von Entwicklung und Betrieb (DevOps) noch um den Sicherheitsaspekt ergänzt, sodass daraus DevSecOps entsteht. Um das zu verwirklichen sollten Unternehmen besonders diese Punkte beachten:
- Sicherheit tief im Entwicklungszyklus verankern: In den meisten IT-Unternehmen arbeiten wesentlich mehr Entwickler als Sicherheitsfachleute. Da die Ressourcen dieser Experten begrenzt sind, lohnt es sich, auch die Entwickler in Sicherheitsthemen zu schulen, sodass diese ihren eigenen Code besser beurteilen können.
Außerdem entspricht das einer der Kernanforderungen von DevOps, nämlich Silos zwischen den verschiedenen Bereichen aufzubrechen. Neben der entsprechenden Schulung benötigen Entwickler allerdings auch die richtigen Tools, die in Echtzeit bei der Identifikation potentieller Schwachstellen helfen.
- Kontinuierliches Testing etablieren: Statisches Testing hat sich in der Anwendungssicherheit als sehr erfolgreich erwiesen. Mit dieser Methode ist es möglich, Risiken sehr früh im Software-Lebenszyklus zu erkennen und die Ursachen festzustellen. Im Gegensatz zu dynamischen Verfahren muss beim statischen Testing die Software noch nicht ausgeführt werden und es wird der Quellcode direkt analysiert. Implementiert man dazu noch Tools, die Feedback in Echtzeit liefern, können Entwickler damit einen fortlaufenden Testing-Prozess etablieren.
- Sicherheit als Teil des Lifecycle Managements verstehen: Einer der herausragenden Aspekte von DevOps ist die dezentrale Entwicklung. Um dabei aber nicht den Überblick zu verlieren, sind leistungsfähige Tools für das Lifecycle Management notwendig. Bei einem DevSecOps-Ansatz gehören dazu auch Sicherheitsscans, die als Teil des Building-Prozesses ausgeführt werden. Damit lassen sich Sicherheitslücken direkt erkennen und die Entwicklerteams können sie unverzüglich beheben, bevor es zu gravierenden Problemen kommt.
- Testing automatisieren: Wie praktisch überall sind auch in IT-Unternehmen in der Regel die Ressourcen knapp. Daher können automatische Security Tools eine echte Hilfe darstellen. Sicherheitstests sollten daher ebenso automatisiert werden, wie Modultests oder Integrationstests. So lässt sich einerseits die Testfrequenz deutlich steigern, andererseits werden die Mitarbeiter entlastet – und das mit geringfügigen Investitionen.
- Anwendungen nach dem Release überwachen: Runtime Application Self-Protection (RASP) ist ein Toll, das Anwendungen überwacht, die sich bereits in Produktion befinden. Solche Monitoring-Lösungen eignen sich, um Umgebungen vor veränderten Risikoprofilen und Zero-Day-Schwachstellen zu schützen.
Fazit
Um ganzheitliche Sicherheitskonzepte zu etablieren, darf man Security nicht mehr als isolierten Teilbereich betrachten. Stattdessen muss sie bereits zu Beginn der Entwicklung berücksichtigt werden. Dazu sollten Unternehmen auf eine End-to-End-Lösung für Anwendungssicherheit setzen, die den gesamten Lebenszyklus der Software-Entwicklung umfasst.
* Neil Correa ist Cybersecurity Strategist bei Micro Focus.
(ID:46753986)
:quality(80)/images.vogel.de/vogelonline/bdb/1931800/1931805/original.jpg "Je besser Security und DevOps verzahnt sind, desto schneller können Features bereitgestellt werden. (Alex – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1905900/1905954/original.jpg "DevSecOps wurde konzipiert, damit in der agilen Entwicklung und Bereitstellung keine Bedrohungen oder Schwachstellen mehr auftauchen. (Murrstock - stock.adobe.com)")