:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/d7/ddd7f2c4859b85a8b1688f38e3092085/0111289633.jpeg "Code-Fragmente machen das Programmieren deutlich effizienter. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/80/89/8089a443255acb4adc657bb0e64a0d69/0111553974.jpeg "Erster Blick auf Parasoft Jtest 2023.1. (Bild: Parasoft)")
:quality(80)/p7i.vogel.de/wcms/ff/f8/fff8d58054f9546032349bcfd610f977/0110367136.jpeg "Agile Softwareentwicklung lebt unter anderem vom ständigen Austausch aller Beteiligten. (Bild: <a href=https://unsplash.com/de/@jasongoodman_youxventures>Jason Goodman</a>)")
:quality(80)/p7i.vogel.de/wcms/08/c5/08c570a57a8bcb6c8de7662e3ea3ecaf/0112066693.jpeg "Das Open-Source-Projekt Git 2.41 umfasst neue Funktionen und Fehlerkorrekturen von über 95 Mitwirkenden. (Bild: Git)")
:quality(80)/p7i.vogel.de/wcms/9e/fa/9efa0cc7438c341e53e44ab403510441/0111640567.jpeg "Der Open-Source-Scanner Trivy lässt sich unter anderem per CLI aufrufen und unterstützt nun auch die Kubernetes-Benchmarks des CIS. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/ce/99/ce994c9dce9fac6c16e96a2871e6c3be/0110414706.jpeg "Nur im Zuge einer umfangreichen Security-Strategie lässt sich ein heterogenes Endpoint-Universum vor Bedrohungen zu schützen. (Bild: <a href=https://pixabay.com/users/coolvid-shows-18646168/>CoolVid-Shows</a>)")
:quality(80)/p7i.vogel.de/wcms/85/49/854932edf414b2f888be89bd3ddf447c/0111835486.jpeg "Cloud Native Rockstars on stage (oben, v.l.): Thomas Hartinger, Phil Korte, Alina Schneider, Nadège Jakob, Tobias Renk, Sebastian Kister, Volker Zöpfel und Linda Früh, daneben die Juroren Dr. Jens Eckhard und Dr. Nils Kaufmann mit Vorjahres-Preisträgerin Emma Wehrwein. In der unteren Reihe (v.l.) Erik Schubert, Moderatorin Lydia Hundsdörfer und Stephan Augsten von den Vogel IT-Medien, Stefan Jacobs, Juror und Keynote-Speaker Maximilian Hille sowie Preisträger Tim Urlaub. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/19/7b19253be9adc79579f0725469c0776a/0111556272.jpeg "Eine Cloud-Migration harmoniert gut mit den DevOps-Prinzipien, die dadurch ein Revival erleben könnten- (Bild: <a href=https://pixabay.com/users/bearinthenorth-2960032/>Anastasia Borisova</a>)")
:quality(80)/p7i.vogel.de/wcms/b8/bf/b8bfcf221961042a9d80a661969868af/0111108621.jpeg "Der Abbau von technischen Schulden bindet Ressourcen, die für aktuelle Projekte dringend benötigt werden. (Bild: © – profit_image – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/61/3e61a6ad22070f1d8239744aa90462ad/0111352868.jpeg "Der sogenannte „Renovate Bot“ aktualisiert nicht selbst, sondern stellt Merge-Requests an das Development Team. (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/a1/2b/a12b814d8d4e1d5ae4d9817d12f5a2d5/0110227353.jpeg "BPMN ist ein intuitives Tool, das sich zu einem Standardverfahren für die Visualisierung von Geschäftsprozess-Workflows entwickelt hat. (© NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/d3/13d37d2a255166d3b801341d81ff0cff/0111621162.jpeg "Automobilarchitekturen wandeln sich zu zonalen, zentralen Rechenzentren und schließlich zu Software Defined Vehicles. (Bild: © – vegefox.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/53/3253e183359754bee5c1b52b1fc0aff6/0111206462.jpeg "Die Datenbankevolution treibt KI, ML und Deep Learning, was die Art und Weise des menschlichen Wissenserwerbs widerspiegeln soll, weiter an. (Bild: Dimitrios - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/dd/55ddac3b4e6f52d4b2584f77a72db2ee/0111768534.jpeg "MariaDB hat die Observability-Funktionen von SkySQL weiter ausgebaut. (Bild: Mohamed Hassan)")
:quality(80)/p7i.vogel.de/wcms/ec/92/ec9271497f9a497ec5c149833911b065/0111435523.jpeg "In den Fachabteilungen wissen die Angestellten genau, welche Tools sie benötigen – warum unkomplizierte Anwendungen nicht selbst bauen lassen? (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/19/1d/191d69675e71d858a172728556fcbafb/0111041367.jpeg "OVHcloud hat mit AI Deploy einen neuen Service für KI-Anwendungen veröffentlicht. (Bild: OVHcloud)")
:quality(80)/p7i.vogel.de/wcms/50/1e/501e67c0fb83d75fc4e0959b137e349b/0111403157.jpeg "Large Language Models verstehen natürliche Sprache, können übersetzen, auf Basis ihrer Daten neuen Text generieren und vieles mehr. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/19/31/1931878346987d5f61c5ed1b967599ae/0104711006.jpeg "Datenstrukturen werden in der Regel auf die Verarbeitung durch Algorithmen hin optimiert. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/67/e96797cf34887ed47068092a4289a884/0111209876.jpeg "Effizienten Code zu schreiben, ist eine große Herausforderung, der sich etliche Unternehmen gerade stellen. (Bild: <a href=https://pixabay.com/de/users/insspirito-1851261/>Garik Barseghyan</a>)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
Cyber-Sicherheit in Code Wie sich DevOps zu DevSecOps entwickelt
DevSecOps ist ein Ansatz zur Gewährleistung kontinuierlicher Cyber-Sicherheit bei der Entwicklung von Software nach dem DevOps-Paradigma. Damit wappnen sich innovative Entwicklungsschmieden gegen mögliche Angriffe. Die Herausforderungen sind enorm.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Die Umstellung von serverseitigen Applikationen auf Microservices und Container-Plattformen wie Docker hat den Prozess der Softwareentwicklung um Fähigkeiten zur kontinuierlichen Bereitstellung erweitert – und gleichzeitig ein neues Problem auf den Plan gerufen: in einem reinen DevOps-Workflow bleibt die Cyber-Sicherheit auf der Strecke.
Cyber-Attacken auf Unternehmen steigen weiter an, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Viele der schwerwiegendsten Vorfälle finden möglicherweise gar unbemerkt statt. Dabei können die Unternehmen ihre Infrastruktur dauerhaft gar nicht absichern, weil sie ihre Software stetig weiterentwickeln müssen.
Laut New Relic, einem der führenden Anbieter von Lösungen zur Überwachung der Anwendungsleistung, nimmt mittlerweile mehr als jedes zweite Unternehmen mindestens einmal pro Woche – viele sogar mehrmals pro Stunde – neuen Software-Code in Betrieb, größtenteils vollkommen ungetestet.
Was ist falsch an reinem DevOps?
Die Prozesse der Entwicklung (Dev) und der Bereitstellung (Ops) von Software müssen in modernen Unternehmen parallel zueinander, ununterbrochen und möglichst reibungslos ablaufen, Stichwort: DevOps.
Dieser Ansatz der Prozessverbesserung vereinigt Continuous Integration (CI)-, Continuous Delivery (CD) und Continuous Deployment (CD) von Softwarecode zu einem System agiler und kontinuierlicher Weiterentwicklung von Softwarecode. Doch kürzere, marktgerechte Release- sowie Bereitstellungszyklen und manuelle Penetrationstests schließen sich aus.
:quality(80)/images.vogel.de/vogelonline/bdb/1227700/1227743/original.jpg "Das Testen der Cyber-Security in Amazons CodeBuild sollte spätestens nach dem Build-Vorgang geschehen; idealerweise aber früher und regelmäßig.")
:quality(80)/images.vogel.de/vogelonline/bdb/1227700/1227744/original.jpg "Die Echtzeit-Datenanalyse der Amazon Pinpoint-Daten in der AWS-Konsole erlaubt es auch, Sicherheitslücken aufzudecken.")
:quality(80)/images.vogel.de/vogelonline/bdb/1227700/1227745/original.jpg "Diensterkennung: Consul von HashiCorp, eine DNS-basierte Diensterkennungslösung, kommt auf GCE im Rahmen eines HAProxy-basierten Lastverteilers zum Einsatz.")
:quality(80)/images.vogel.de/vogelonline/bdb/1227700/1227746/original.jpg "Watson: IBM strickt seine Dev(Sec)Ops-Dienste rund um kognitive Lösungen herum.")
Für eine umfassende Testphase einer neuen Softwareversion bleibt einfach keine Zeit übrig. So kommen mit jeder Aktualisierung einer Anwendung nicht nur die gewünschten Verbesserungen, sondern auch neue Sicherheitslücken hinzu. So bringt dieser kontinuierliche Fluss von Änderungen und die unmittelbare Bereitstellung von unzureichend getestetem Code (und das womöglich noch unter Zeitdruck!) enorme Risiken mit sich. Potenzielle Zero-Day-Verwundbarkeiten nehmen ja auch neuerdings scheinbar unkontrolliert zu.
Bei einer Umfrage des BSI in Zusammenarbeit mit der Allianz für Cyber-Sicherheit, einem Verbund deutscher Unternehmen im Bereich der Cyber-Sicherheit, im vergangenen Jahr, gab knapp jedes dritte der 592 befragten Unternehmen an, im Laufe der vorangegangenen sechs Monate Opfer von Ransomware geworden zu sein. Rund ein Dutzend der betroffenen Unternehmen sind den Lösegeldforderungen auch tatsächlich nachgekommen.
Keine Cyber-Sicherheit ohne SecOps/DevSecOps
Eine Antwort auf die Cyber-Sicherheit-Herausforderungen eines DevOps-Workflows taufte die Entwicklergemeinde auf den Namen SecOps/DevSecOps. Dabei handelt es sich um die Umsetzung von Sicherheitsrichtlinien in Softwarecode zur kontinuierlichen Gewährleistung von Cyber-Sicherheit im Rahmen des DevOps-Modells.
Vorreiter von SecOps haben Sicherheitsrichtlinien in Code erfasst und in ihrer Deployment-Pipeline fest verankert. Damit die Entwickler und die Systemadministratoren an einem Strang ziehen, arbeiten sie in diesen Unternehmen in gemeinsamen Teams an einer gemeinsamen Zielsetzung.
:quality(80)/images.vogel.de/vogelonline/bdb/1218400/1218431/original.jpg "Bei der Anwendungsentwicklung und -bereitstellung spielt Sicherheit eine immer größere Rolle. (JanBaby - Pixabay.com)")
Security-Testing, Analysen und Selbstschutz
Von DevOps zu DevSecOps – diese Technologien helfen
Es hat sich in der Industrie etabliert, ein „Rotes Team“ (Red Team) und ein „Blaues Team“ (Blue Team) zu bilden; manchmal kommt auch ein „Purpurrotes Team“ (Purple Team) hinzu. Jedes dieser Teams verfügt über geballte Kenntnisse der Entwickler (aus der Dev-Abteilung) und der Administratoren (aus der Ops-Abteilung).
Im Rahmen einer geplanten Feuerübung geht das Rote Team mit intensiven Penetrationstests in die Offensive, um die bestehenden Sicherheitsvorkehrungen des Unternehmens zu unterwandern. Das Blaue Team übernimmt die Verteidigung. Softwarebugs und Konfigurationsfehler werden hier niemandem zum Verhängnis, ganz im Gegenteil: Wer neue Probleme oder neue Lösungen findet, gewinnt.
Diese Informationen nimmt dann im nächsten Schritt das Purpurrote Team unter die Lupe. Auch hier treffen sich IT-Fachkräfte aus beiden Abteilungen – Entwicklung und Bereitstellung – zusammen, um eine technische Aufgabe gemeinsam zu bewältigen. Punktuelle Verbesserungen durch manuelles Feuerlöschen stehen hier nicht auf dem Programm. Stattdessen besteht die Aufgabe darin, die Erkenntnisse aus den „Feuerübungen“ in Softwarecode umzusetzen und entsprechende Sicherheitstests zu entwickeln.
Der resultierende Code fließt dann zurück in die Bereitstellungspipeline für künftige Release-Zyklen hinein. So können Unternehmen eine maßgeschneiderte, robuste SecOps-Monitoring-Plattform entwickeln, mit deren Hilfe sich Cyber-Sicherheitsrichtlinien auf die gesamte IT-Infrastruktur automatisch anwenden lassen. Einmal identifizierte Verwundbarkeiten können so – rein theoretisch – nie wieder auftreten.
Von DevOps zu SecOps in (und jenseits) der Cloud
Doch Papier ist geduldig. In einer aktuellen Studie der Cloud Security Alliance (CSA) bekannten sich 65 Prozent der IT-Führungskräfte zu der Meinung, die Cloud sei „genauso sicher oder sogar sicherer“ als ihre eigene On-Premise-Software.
Diese Aussage kann zweierlei bedeuten: Entweder werden die On-Premise-Umgebungen von Unternehmen vernachlässigt, oder die Betroffenen sind sich Cloud-spezifischer Sicherheitsgefahren in Bezug auf DevOps-Workflows nicht so recht bewusst.
:quality(80)/images.vogel.de/vogelonline/bdb/1251700/1251747/original.jpg "Sicherheit kann hinderlich sein, aber auch als Wegbereiter verstanden werden. (Tommy Lisbin - Unsplash.com)")
Sichere Anwendungsentwicklung
Security – ein Bremsklotz für DevOps?
Ein Cloud-Anbieter exponiert gegenüber Entwicklern und Benutzern die eigenen APIs, um eine programmatische Kontrolle über seine Infrastruktur-, Plattform- und/oder Softwaredienste zu ermöglichen. Die meisten Verwundbarkeiten von Software-Deployments in einer Cloud lassen sich daher auf den leichtsinnigen Umgang der DevOps-Belegschaft mit Cloud-APIs zurückführen.
Diese Sicherheitslücken von DevOps-Workflows mit Cloud-Bereitstellung fallen im Grunde genommen in eine von zwei Kategorien:
- Unberechtigter Zugriff auf API-Endpunkte: Privilegierte API-Anfragen trumpfen jegliche sonstigen Sicherheitskontrollen und so kann der Verlust von API-Schlüsseln ungeachtet der Sicherheitseigenschaften des bereitgestellten Software-Code nahezu katastrophale Folgen nach sich ziehen.
- Fehlerträchtige Drittanbieterdienste und -Tools: Systeme von Drittanbietern zur Cloud-Orchestrierung, Provisionierung von Cloud-Diensten und zur Auswertung von Metadaten können sicherheitskritische Informationen über die Cloud-Topologie des Unternehmens offenlegen.
Beide Szenarien lassen sich auf einen leichtsinnigen Umgang der DevOps-Belegschaft mit sicherheitskritischen Daten wie API-Schlüsseln und Cloud-Metadaten zurückführen.
Der liberale Austausch unverschlüsselter Zugangsdaten zwischen Entwicklern und Administratoren (z.B. in E-Mails oder Slack-Chats) ist in vielen Unternehmen Gang und Gabe. Da hilft es nichts, strikte SecOps-Richtlinien in Code zu erfassen, wenn sich selbst die Entwickler um die Einhaltung so grundsätzlicher Sicherheitsprinzipien im Alltag so gerne drücken. Cloud-Dienste zur Verwaltung von API-Schlüsseln wie AWS KMS oder Azure Key Vault können helfen, das Problem in den Griff zu bekommen.
Darüber hinaus gibt es noch eine weitere Unsitte: In vielen Unternehmen greifen die Fachabteilungen in Eigenregie auf Cloud-Dienste zurück, um unternehmenskritische Daten zu speichern oder zu verarbeiten — völlig vorbei an den SecOps-Sicherheitsvorkehrungen interner Workflows, schreibt NTT Communications in ihrem Bericht „Sicherheit in der Cloud: wie kann ich meine Cloud Service Provider (CSPs) überwachen?“.
Diese sogenannte Schatten-IT ist eine tickende Zeitbombe. Dabei kann man den Fachabteilungen ihre Neigung zur Produktivität eigentlich nicht wirklich vorwerfen, wenn ihre dringenden Anliegen aus Gründen falsch verstandener Sicherheit bei den hauseigenen Entwicklern nicht auf offene Ohren stoßen. Darum ist DevOps überhaupt entstanden: um aufkommende Problemstellungen in Softwarecode zeitnah zu lösen.
Da gilt es für die SecOps/DevSecOps-Gemeinschaft, sich zurück auf das Agile Manifesto zu besinnen. Im DevOps-Zeitalter ist die Cyber-Sicherheit jedenfalls kein Fertiggericht.
Fazit
Anwendungen, die sich in einem fortwährenden Entwicklungszyklus befinden, sind heute der Antriebsmotor für geschäftskritische Abläufe in modernen Unternehmen. Die Code-Basis durchläuft nach dem DevOps-Modell automatisierte Nachschubwege von der Entwicklungsabteilung (Dev) zu der IT-Betriebsabteilung (Ops) im Takt von nur wenigen Tagen oder Stunden.
Doch reines DevOps birgt ein erhöhtes Risiko von Funktionsstörungen durch die kontinuierliche Evolution der Software und ihrer Laufzeitumgebung. Um dieser Herausforderung mit geeigneten Mitteln begegnen zu können verankert der SecOps/DevSecOps-Ansatz Cyber-Security-orientierte Maßnahmen und -Vorsätze in das DevOps-Modell kontinuierlicher, iterativer Prozessverbesserung. So werden sowohl die Softwarelogik als auch die Infrastruktur und die Cyber-Sicherheit in Code erfasst.
* Filipe Pereira Martins und Anna Kobylinska schreiben unabhängig für die Insider-Portale und sind bei der Soft1T S.a r.l. Beratungsgesellschaft mbH, McKinley Denali Inc. (USA), beschäftigt.
(ID:44685081)
:quality(80)/images.vogel.de/vogelonline/bdb/1905900/1905954/original.jpg "DevSecOps wurde konzipiert, damit in der agilen Entwicklung und Bereitstellung keine Bedrohungen oder Schwachstellen mehr auftauchen. (Murrstock - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1911800/1911895/original.jpg "Große Sprünge sind bei der Container-Terchnik nicht zu erwarten, aber das technologische Umfeld ist in ständiger Bewegung. (kaiquestr)")