:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/8c/54/8c54744c036ec61da10210ccedac6e6f/0115622026.jpeg "Automatisierte Sicherheit gehört für viele Unternehmen schon dazu, berichtet Synopsys. (Bild: PandaStockArt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/3a/86/3a861660380c36be8f5c30437efc7f0c/0115482665.jpeg "Visual Studio Code lässt sich als ein Flatpak von Flathub beziehen und auf einer beliebigen unterstützen Distribution mit einem simplen Befehl einrichten. (Bild: Flathub.org / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Cyber-Sicherheit in Code Wie sich DevOps zu DevSecOps entwickelt
DevSecOps ist ein Ansatz zur Gewährleistung kontinuierlicher Cyber-Sicherheit bei der Entwicklung von Software nach dem DevOps-Paradigma. Damit wappnen sich innovative Entwicklungsschmieden gegen mögliche Angriffe. Die Herausforderungen sind enorm.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Die Umstellung von serverseitigen Applikationen auf Microservices und Container-Plattformen wie Docker hat den Prozess der Softwareentwicklung um Fähigkeiten zur kontinuierlichen Bereitstellung erweitert – und gleichzeitig ein neues Problem auf den Plan gerufen: in einem reinen DevOps-Workflow bleibt die Cyber-Sicherheit auf der Strecke.
Cyber-Attacken auf Unternehmen steigen weiter an, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Viele der schwerwiegendsten Vorfälle finden möglicherweise gar unbemerkt statt. Dabei können die Unternehmen ihre Infrastruktur dauerhaft gar nicht absichern, weil sie ihre Software stetig weiterentwickeln müssen.
Laut New Relic, einem der führenden Anbieter von Lösungen zur Überwachung der Anwendungsleistung, nimmt mittlerweile mehr als jedes zweite Unternehmen mindestens einmal pro Woche – viele sogar mehrmals pro Stunde – neuen Software-Code in Betrieb, größtenteils vollkommen ungetestet.
Was ist falsch an reinem DevOps?
Die Prozesse der Entwicklung (Dev) und der Bereitstellung (Ops) von Software müssen in modernen Unternehmen parallel zueinander, ununterbrochen und möglichst reibungslos ablaufen, Stichwort: DevOps.
Dieser Ansatz der Prozessverbesserung vereinigt Continuous Integration (CI)-, Continuous Delivery (CD) und Continuous Deployment (CD) von Softwarecode zu einem System agiler und kontinuierlicher Weiterentwicklung von Softwarecode. Doch kürzere, marktgerechte Release- sowie Bereitstellungszyklen und manuelle Penetrationstests schließen sich aus.
:quality(80)/images.vogel.de/vogelonline/bdb/1227700/1227743/original.jpg "Das Testen der Cyber-Security in Amazons CodeBuild sollte spätestens nach dem Build-Vorgang geschehen; idealerweise aber früher und regelmäßig.")
:quality(80)/images.vogel.de/vogelonline/bdb/1227700/1227744/original.jpg "Die Echtzeit-Datenanalyse der Amazon Pinpoint-Daten in der AWS-Konsole erlaubt es auch, Sicherheitslücken aufzudecken.")
:quality(80)/images.vogel.de/vogelonline/bdb/1227700/1227745/original.jpg "Diensterkennung: Consul von HashiCorp, eine DNS-basierte Diensterkennungslösung, kommt auf GCE im Rahmen eines HAProxy-basierten Lastverteilers zum Einsatz.")
:quality(80)/images.vogel.de/vogelonline/bdb/1227700/1227746/original.jpg "Watson: IBM strickt seine Dev(Sec)Ops-Dienste rund um kognitive Lösungen herum.")
Für eine umfassende Testphase einer neuen Softwareversion bleibt einfach keine Zeit übrig. So kommen mit jeder Aktualisierung einer Anwendung nicht nur die gewünschten Verbesserungen, sondern auch neue Sicherheitslücken hinzu. So bringt dieser kontinuierliche Fluss von Änderungen und die unmittelbare Bereitstellung von unzureichend getestetem Code (und das womöglich noch unter Zeitdruck!) enorme Risiken mit sich. Potenzielle Zero-Day-Verwundbarkeiten nehmen ja auch neuerdings scheinbar unkontrolliert zu.
Bei einer Umfrage des BSI in Zusammenarbeit mit der Allianz für Cyber-Sicherheit, einem Verbund deutscher Unternehmen im Bereich der Cyber-Sicherheit, im vergangenen Jahr, gab knapp jedes dritte der 592 befragten Unternehmen an, im Laufe der vorangegangenen sechs Monate Opfer von Ransomware geworden zu sein. Rund ein Dutzend der betroffenen Unternehmen sind den Lösegeldforderungen auch tatsächlich nachgekommen.
Keine Cyber-Sicherheit ohne SecOps/DevSecOps
Eine Antwort auf die Cyber-Sicherheit-Herausforderungen eines DevOps-Workflows taufte die Entwicklergemeinde auf den Namen SecOps/DevSecOps. Dabei handelt es sich um die Umsetzung von Sicherheitsrichtlinien in Softwarecode zur kontinuierlichen Gewährleistung von Cyber-Sicherheit im Rahmen des DevOps-Modells.
Vorreiter von SecOps haben Sicherheitsrichtlinien in Code erfasst und in ihrer Deployment-Pipeline fest verankert. Damit die Entwickler und die Systemadministratoren an einem Strang ziehen, arbeiten sie in diesen Unternehmen in gemeinsamen Teams an einer gemeinsamen Zielsetzung.
:quality(80)/images.vogel.de/vogelonline/bdb/1218400/1218431/original.jpg "Bei der Anwendungsentwicklung und -bereitstellung spielt Sicherheit eine immer größere Rolle. (JanBaby - Pixabay.com)")
Security-Testing, Analysen und Selbstschutz
Von DevOps zu DevSecOps – diese Technologien helfen
Es hat sich in der Industrie etabliert, ein „Rotes Team“ (Red Team) und ein „Blaues Team“ (Blue Team) zu bilden; manchmal kommt auch ein „Purpurrotes Team“ (Purple Team) hinzu. Jedes dieser Teams verfügt über geballte Kenntnisse der Entwickler (aus der Dev-Abteilung) und der Administratoren (aus der Ops-Abteilung).
Im Rahmen einer geplanten Feuerübung geht das Rote Team mit intensiven Penetrationstests in die Offensive, um die bestehenden Sicherheitsvorkehrungen des Unternehmens zu unterwandern. Das Blaue Team übernimmt die Verteidigung. Softwarebugs und Konfigurationsfehler werden hier niemandem zum Verhängnis, ganz im Gegenteil: Wer neue Probleme oder neue Lösungen findet, gewinnt.
Diese Informationen nimmt dann im nächsten Schritt das Purpurrote Team unter die Lupe. Auch hier treffen sich IT-Fachkräfte aus beiden Abteilungen – Entwicklung und Bereitstellung – zusammen, um eine technische Aufgabe gemeinsam zu bewältigen. Punktuelle Verbesserungen durch manuelles Feuerlöschen stehen hier nicht auf dem Programm. Stattdessen besteht die Aufgabe darin, die Erkenntnisse aus den „Feuerübungen“ in Softwarecode umzusetzen und entsprechende Sicherheitstests zu entwickeln.
Der resultierende Code fließt dann zurück in die Bereitstellungspipeline für künftige Release-Zyklen hinein. So können Unternehmen eine maßgeschneiderte, robuste SecOps-Monitoring-Plattform entwickeln, mit deren Hilfe sich Cyber-Sicherheitsrichtlinien auf die gesamte IT-Infrastruktur automatisch anwenden lassen. Einmal identifizierte Verwundbarkeiten können so – rein theoretisch – nie wieder auftreten.
Von DevOps zu SecOps in (und jenseits) der Cloud
Doch Papier ist geduldig. In einer aktuellen Studie der Cloud Security Alliance (CSA) bekannten sich 65 Prozent der IT-Führungskräfte zu der Meinung, die Cloud sei „genauso sicher oder sogar sicherer“ als ihre eigene On-Premise-Software.
Diese Aussage kann zweierlei bedeuten: Entweder werden die On-Premise-Umgebungen von Unternehmen vernachlässigt, oder die Betroffenen sind sich Cloud-spezifischer Sicherheitsgefahren in Bezug auf DevOps-Workflows nicht so recht bewusst.
:quality(80)/images.vogel.de/vogelonline/bdb/1251700/1251747/original.jpg "Sicherheit kann hinderlich sein, aber auch als Wegbereiter verstanden werden. (Tommy Lisbin - Unsplash.com)")
Sichere Anwendungsentwicklung
Security – ein Bremsklotz für DevOps?
Ein Cloud-Anbieter exponiert gegenüber Entwicklern und Benutzern die eigenen APIs, um eine programmatische Kontrolle über seine Infrastruktur-, Plattform- und/oder Softwaredienste zu ermöglichen. Die meisten Verwundbarkeiten von Software-Deployments in einer Cloud lassen sich daher auf den leichtsinnigen Umgang der DevOps-Belegschaft mit Cloud-APIs zurückführen.
Diese Sicherheitslücken von DevOps-Workflows mit Cloud-Bereitstellung fallen im Grunde genommen in eine von zwei Kategorien:
- Unberechtigter Zugriff auf API-Endpunkte: Privilegierte API-Anfragen trumpfen jegliche sonstigen Sicherheitskontrollen und so kann der Verlust von API-Schlüsseln ungeachtet der Sicherheitseigenschaften des bereitgestellten Software-Code nahezu katastrophale Folgen nach sich ziehen.
- Fehlerträchtige Drittanbieterdienste und -Tools: Systeme von Drittanbietern zur Cloud-Orchestrierung, Provisionierung von Cloud-Diensten und zur Auswertung von Metadaten können sicherheitskritische Informationen über die Cloud-Topologie des Unternehmens offenlegen.
Beide Szenarien lassen sich auf einen leichtsinnigen Umgang der DevOps-Belegschaft mit sicherheitskritischen Daten wie API-Schlüsseln und Cloud-Metadaten zurückführen.
Der liberale Austausch unverschlüsselter Zugangsdaten zwischen Entwicklern und Administratoren (z.B. in E-Mails oder Slack-Chats) ist in vielen Unternehmen Gang und Gabe. Da hilft es nichts, strikte SecOps-Richtlinien in Code zu erfassen, wenn sich selbst die Entwickler um die Einhaltung so grundsätzlicher Sicherheitsprinzipien im Alltag so gerne drücken. Cloud-Dienste zur Verwaltung von API-Schlüsseln wie AWS KMS oder Azure Key Vault können helfen, das Problem in den Griff zu bekommen.
Darüber hinaus gibt es noch eine weitere Unsitte: In vielen Unternehmen greifen die Fachabteilungen in Eigenregie auf Cloud-Dienste zurück, um unternehmenskritische Daten zu speichern oder zu verarbeiten — völlig vorbei an den SecOps-Sicherheitsvorkehrungen interner Workflows, schreibt NTT Communications in ihrem Bericht „Sicherheit in der Cloud: wie kann ich meine Cloud Service Provider (CSPs) überwachen?“.
Diese sogenannte Schatten-IT ist eine tickende Zeitbombe. Dabei kann man den Fachabteilungen ihre Neigung zur Produktivität eigentlich nicht wirklich vorwerfen, wenn ihre dringenden Anliegen aus Gründen falsch verstandener Sicherheit bei den hauseigenen Entwicklern nicht auf offene Ohren stoßen. Darum ist DevOps überhaupt entstanden: um aufkommende Problemstellungen in Softwarecode zeitnah zu lösen.
Da gilt es für die SecOps/DevSecOps-Gemeinschaft, sich zurück auf das Agile Manifesto zu besinnen. Im DevOps-Zeitalter ist die Cyber-Sicherheit jedenfalls kein Fertiggericht.
Fazit
Anwendungen, die sich in einem fortwährenden Entwicklungszyklus befinden, sind heute der Antriebsmotor für geschäftskritische Abläufe in modernen Unternehmen. Die Code-Basis durchläuft nach dem DevOps-Modell automatisierte Nachschubwege von der Entwicklungsabteilung (Dev) zu der IT-Betriebsabteilung (Ops) im Takt von nur wenigen Tagen oder Stunden.
Doch reines DevOps birgt ein erhöhtes Risiko von Funktionsstörungen durch die kontinuierliche Evolution der Software und ihrer Laufzeitumgebung. Um dieser Herausforderung mit geeigneten Mitteln begegnen zu können verankert der SecOps/DevSecOps-Ansatz Cyber-Security-orientierte Maßnahmen und -Vorsätze in das DevOps-Modell kontinuierlicher, iterativer Prozessverbesserung. So werden sowohl die Softwarelogik als auch die Infrastruktur und die Cyber-Sicherheit in Code erfasst.
* Filipe Pereira Martins und Anna Kobylinska schreiben unabhängig für die Insider-Portale und sind bei der Soft1T S.a r.l. Beratungsgesellschaft mbH, McKinley Denali Inc. (USA), beschäftigt.
(ID:44685081)
:quality(80)/p7i.vogel.de/wcms/58/44/58445a9aabf4393da99099f34b3f064b/98262129.jpeg "Die Verzahnung von Development und IT Operations zielt auf eine schnellere und qualitativere Softwareentwicklung ab. (© anathomy - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/26/cd/26cdc4e8fa35779e31a7d5ed1fc5cd54/0109928003.jpeg "Automatisierte SQA-Techniken, -Prozesse und -Werkzeuge schaffen robuste Software, unser eBook liefert einen Überblick. (© greenbutterfly - stock.adobe.com)")