:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/9e/929ebd787f23abe1aa1f9154660004bc/0110551740.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/48/63/48636b30e2851005f306fb7910e0c322/0109499300.jpeg "Neben Fortschritten bei der Künstlichen Intelligenz hält das Jahr 2023 noch andere Development-Trends bereit. (© Weissblick – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/75/4475df87014c1375344e8b82ed6e22dc/0110161453.jpeg "Licht im Tunnel: Shift-Left und Shift-Right schaffen in der Softwareentwicklung einen Schulterschluss von Sicherheit und Agilität. (Bild: <a href=https://unsplash.com/@alexandermils>Alexander Mils</a>)")
:quality(80)/p7i.vogel.de/wcms/dc/8d/dc8d9b3e23bc5bb6a8323b67991445df/0110203970.jpeg "Die mit Microservices verbundene Fragmentierung von Anwendungen führt zwangsläufig zu neuen Sicherheitsrisiken und einer größeren Angriffsfläche. (Bild: <a href=https://pixabay.com/users/thedigitalartist-202249/>Pete Linforth</a>)")
:quality(80)/p7i.vogel.de/wcms/12/3f/123ff52f1eedeb7a255fd95297f8b9ff/0110061064.jpeg "Die SaaS-Plattform SolarWinds Observability steht ab sofort mehr Kunden rund um den Globus zur Verfügung. (Bild: © – jayzynism – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fb/96/fb96a60a4f2eeba26d699b57f8c4d817/0109733675.jpeg "Alles in allem ist die Cloud Computing Foundation (CNCF) eine erfolgreiche Non-Profit-Organisation, Heimat für innovative Open-Source-Projekte, selbst wenn angesagte Highflyer auch einmal abstürzen. (Bild: Cmon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/e6/79e65075f5eca3f177c438b5d5778240/0109951044.jpeg "Die fehlende Kommunikation ist mittlerweile kein ernsthaftes Gegenargument mehr für eine Outsourcing-Strategie. (Bild: <a href=https://www.pexels.com/@thisisengineering/>ThisIsEngineering</a>)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/fe/87/fe87e275bdad6b264f059938465da19f/0109787723.jpeg "Einstieg in Microsoft Graph mit dem Graph-Explorer. (Bild: Joos / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/16/04/160481e1af171c4e5f385bf8eb9eb6ae/0110498754.jpeg "Oracle stellt in Zusammenarbeit mit der OpenJDK-Community alle sechs Monate eine neue Version des Oracle Java Development Kit bereit. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/5d/02/5d02a26f4ed2857373b2e5d90113ca38/0110506169.jpeg "Unternehmen sollten wissen, wie sie das Beste aus ihren Low-Code- oder No-Code-Plattformen herausholen können. (© bsd studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a6/b4a61bbbfe9a9cf25c84765622ea0158/0110026310.jpeg "Tabnine kann Code mithilfe von Anweisungen in menschlicher Sprache generieren und vervollständigen. (Bild: <a href=https://www.tabnine.com/>Tabnine</a>)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Mehr Sicherheit bei der Anwendungsentwicklung Wie wichtig die DevSecOps-Kultur für Unternehmen ist
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/44/62441f164417b/fastly-logo-2020--3-.jpeg "fastly-logo-2020--3- (Fastly)"){kind=logo}
Der Einsatz von Containern und Open Source birgt viele Vorteile für Entwickler – aber auch einige Herausforderungen bei der Sicherheit. Wie Sicherheit durch einen DevSecOps-Ansatz stärker im Entwicklungsprozess integriert werden kann, erläutert dieser Gastbeitrag.
Das Konzept von DevOps gibt es schon seit über zehn Jahren. Ziel dieses Ansatzes war ursprünglich, die Zusammenarbeit von Entwickler- und Operations-Teams zu verbessern. Dabei spielte die Automatisierung von Prozessen eine entscheidende Rolle, sowohl bei der Entwicklung als auch beim Testen und beim Einsatz von Anwendungen.
Zunächst arbeiteten die entsprechenden Teams gemeinsam einige Standard-Prozeduren aus. Daraus entwickelte sich der DevOps-Ansatz, der zunehmend den gesamten Entwicklungsprozess beeinflusste. Zu diesem Zeitpunkt spielte das Thema Sicherheit zwar schon eine Rolle, war aber noch nicht vorrangig.
DevOps war dabei nicht die einzige Veränderung, die die Software-Entwicklung und -Anwendung entscheidend beeinflusste. Auch die zunehmende Migration von Anwendungen in die Cloud, Containerisierung und die Zunahme von Open Source spielten eine entscheidende Rolle.
Diese Aspekte treiben die digitale Transformation entscheidend voran und ermöglichen es Unternehmen, schneller Ergebnisse zu erzielen und wettbewerbsfähig zu bleiben. Jedoch wurden damit einige Dinge auch komplexer – und es wird zunehmend schwieriger, digitale Lösungen auch wirklich sicher zu gestalten.
Da Entwickler immer schneller Ergebnisse liefern müssen, wird es für Sicherheitsteams immer schwieriger, damit Schritt zu halten. Dies wiederum kann den Entwicklungsprozess manchmal entscheidend verzögern. Und genau deshalb sollte Sicherheit als integrierter Teil von DevOps betrachtet werden. Somit wandelt sich DevOps zunehmend zu einer DevSecOps-Kultur.
Sicherheit in der Cloud-Ära: Die Herausforderungen von Containerisierung und Open Source
Was sind die konkreten Sicherheitsherausforderungen, denen sich Unternehmen im Zeitalter von Cloud, Containerisierung und Open Source stellen müssen? Und wie kann ein DevSecOps-Ansatz dabei unterstützen?
Beginnen wir mit dem Beispiel Container: Während Waren schon lange in Containern rund um die Welt transportiert werden, sind Software-Container noch recht neu. Diese Container enthalten neben der Software ein komplettes Dateiensystem, mit allem, was nötig ist, damit die Software läuft: Quellcode, Systembibliotheken, System-Tools und eine Laufzeitumgebung. Dadurch funktioniert die Anwendung unabhängig von der Umgebung.
Der Einsatz von Containern ermöglicht darüber hinaus eine schnellere Anwendungsentwicklung und automatisierte Arbeitsabläufe, so dass Entwicklerteams ihren Code sehr schnell in Produktionsumgebungen einsetzen können. Dieses sehr schnelle und agile Entwickeln eröffnet viele neue Möglichkeiten, beispielsweise auch für Startups – birgt aber auch neue Gefahren hinsichtlich von Schwachstellen.
Container enthalten meist Open-Source-Anwendungen: Diese Komponenten sind überwiegend Linux-basiert und dienen der Ausführung von Anwendungen, die mit Open-Source-Programmiersprachen und -Frameworks erstellt wurden. Dabei kann Linux durchaus anfällig sein: Hier werden etwa 50 Mal mehr Schwachstellen gemeldet als in Open-Source-Sprachen-Frameworks.
Hinzu kommt, dass Entwickler in der Regel keine Betriebssystem-Betreuer sind – und dies auch gar nicht sein wollen. Ihr Ziel ist es, die Software sicher und schnell auf den Markt zu bringen. Aber glücklicherweise reagieren die Linux- und Container-Communities meist schnell auf Schwachstellen. Mit den richtigen Tools können Entwickler schnell Schwachstellen in ihren Containern beheben, ohne sich erst in Linux-Distributionen einzuarbeiten oder Berichte über Linux-Schwachstellen zu wälzen.
Moderne Tools, wie wir sie mit „Snyk Container“ und „Snyk Open Source“ auch anbieten, lassen sich in einen umfassenden DevSecOps-Ansatz integrieren. So können Entwickler- und IT-Sicherheits-Teams die Vorteile von Containerisierung und Open Source optimal nutzen und gleichzeitig das Risiko reduzieren.
Mitarbeiter, Prozesse, Technologie: Die drei Erfolgsfaktoren von DevSecOps
Technologie, Mitarbeiter und Prozesse sind die drei Erfolgsfaktoren für DevSecOps. Die DevSecOps-Prinzipien bauen auf diesen drei Säulen auf, und ermöglichen dadurch eine umfassende Zusammenarbeit aller relevanten Akteure.
1. Zusammenarbeit der Teams stärken
Eine moderne Sicherheitskultur muss für und nicht gegen die Mitarbeiter arbeiten – nur dann kann sie erfolgreich sein. Wenn ein Unternehmen einen DevSecOps-Ansatz einführen möchte, sollten zuerst die Sicherheitsteams umfassender ins Alltagsgeschäft integriert werden. Eine engere Zusammenarbeit von Entwickler-, Sicherheits- und Betriebsteams ermöglicht schnellere Feedback-Prozesse zum Code, zur Software und zur Anwendung, auch unter Sicherheitsaspekten. Und dies wiederum verringert die Kosten für nachträgliche Korrekturen.
Bis jetzt sind die Verantwortlichkeiten oft noch sehr abgegrenzt: Die Entwickler sind für eine schnelle Bereitstellung des Produkts verantwortlich, Sicherheitsteams für die Sicherheit der Anwendung und Operations-Teams für ihre Stabilität. DevSecOps reißt diese Silos nieder und bringt alle drei Teams mit einem gemeinsamen Ziel zusammen: der schnellen Bereitstellung von sicherer und stabiler Software.
2. Neue Prozesse für eine neue DevSecOps-Kultur
Eine erfolgreiche DevSecOps-Kultur basiert auch auf reibungslosen Prozessen. Dazu gehört das Aufbrechen von Hierarchien und bisherigen Arbeitsabläufen, die die gemeinsame Verantwortung für ein Projekt verhindern. Entscheidend ist dabei auch, die richtige Balance zwischen automatisiertem und manuellem „Gating“ zu finden.
Herkömmliche Sicherheitsstrategien legen oft bestimmte Meilensteine für bestimmte Sicherheitsaufgaben fest. Wenn dann keine zufriedenstellende Lösung gefunden wird, wird der Prozess zunächst nicht fortgeführt. In einigen Unternehmen implementiert das Betriebsteam dann ähnliche Gates, bevor die Software bereitgestellt wird.
Dieses Gating-Modell bringt jedoch langwierige Feedback-Schleifen mit sich und verzögert somit die Software-Auslieferung. Entscheidend bei einem DevSecOps-Ansatz ist jedoch, schnelleres Feedback zu ermöglichen. Gemeinsame Verantwortung statt einem Gating-Modell sollte deshalb die Devise sein. Prozesse müssen dementsprechend angepasst werden.
Ein guter Start für eine solche Zusammenarbeit der relevanten Teams ist die Bedrohungsmodellierung. Mit dieser werden Bedrohungen und Schwachstellen identifiziert und entsprechende Kontrollmechanismen eingeführt, um die Gefahr zu minimieren. Generell ist es besonders wichtig, positive Anwendungsbeispiele aus den Sicherheits- und Operation-Teams im gesamten Entwicklungsprozess zu integrieren.
Silos müssen aber nicht nur innerhalb eines Unternehmens aufgebrochen werden, sondern auch der Blick übers Unternehmen hinaus ist wichtig: Open Source ist ein gutes Beispiel, wie schwierig eine solche breite Zusammenarbeit manchmal sein kann. Bei Open-Source-Lösungen können sich Entwickler und Anwender nicht gemeinsam an einen Tisch setzen und etwas besprechen.
Während viele Arbeitnehmer momentan zu Zeiten von Corona gerade die neue Erfahrung machen, mit Kollegen nur digital zusammenzuarbeiten, ist dies in der Open-Source-Community schon lange Alltag. Deshalb können Anwender beispielsweise nicht so einfach einen Open Source-Entwickler bitten, dass er eine Schwachstelle behebt. Aus diesem Grund müssen Unternehmen verstärkt darauf achten, wer beispielsweise einen Code entwickelt hat, ob dieser sicher ist und entsprechend getestet wurde.
3. Der Einsatz der richtigen Technologie ist eine entscheidende Grundlage
Für die Einführung neuer Prozesse braucht es auch geeignete Technologien. Viele denken bei DevSecOps-Lösungen zuerst an die Automatisierung von Bereitstellungsprozessen. Aber Automatisierung ist nicht immer die Antwort auf alles. Unternehmen sollten zunächst ihre vorhandene Technologie einer Prüfung unterziehen und dort automatisieren, wo es notwendig und möglich ist – und wenn eine Lösung unpraktisch oder unnötig ist, diese auch aussortieren.
Eine Technologieplattform sollte außerdem besonders auf Entwickler zugeschnitten sein, so wie die Plattform von Snyk. Plattformen, die die Bedürfnisse und Anforderungen von Entwicklern in den Mittelpunkt stellen, integrieren gleichzeitig auch Sicherheit über den gesamten Entwicklungsprozess hinweg. Dadurch erhalten Entwickler-, Sicherheits- und Betriebsteams einen umfassenden Überblick.
Die Etablierung einer neuen DevSecOps-Kultur braucht seine Zeit. Unternehmen sollten sich im ersten Schritt bewusst werden, wie wichtig ein solcher Ansatz ist – und welche Vorteile er bietet, beispielweise bessere Sicherheit bei einer gleichzeitig schnelleren Entwicklung. Und wenn Schwachstellen und Fehler möglichst früh im Entwicklungsprozess entdeckt werden, spart dies außerdem Kosten und Zeit. All dies bringt auch größeres Vertrauen in die Sicherheit und Verlässlichkeit einer Software – und damit auch Vorteile für das entsprechende Unternehmen, wie etwa Umsatzsteigerungen.
* Daniel Berman ist Product Marketing Director bei Snyk.
(ID:47124086)
:quality(80)/images.vogel.de/vogelonline/bdb/1905900/1905954/original.jpg "DevSecOps wurde konzipiert, damit in der agilen Entwicklung und Bereitstellung keine Bedrohungen oder Schwachstellen mehr auftauchen. (Murrstock - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1939500/1939529/original.jpg "Snyk weitet seine Sicherheitsstrategie auf End-to-End-Containerschutz und Cloud-Sicherheit aus. (Snyk)")