Anzeige

SecDevOps

Eine Analyse von Veracode zeigt, dass sich die Automatisierung von Sicherheit massiv verlagert, dass modulare Anwendungen stark zunehmen und dass sich die durchschnittliche Zeit, in der Sicherheitslücken offen bleiben, sich durch automatisiertes Scannen halbiert.

Laut neuer Nutzungsdaten von Veracode, dem weltweit größten Anbieter von Application Security Testing (AST), wird Cybersicherheit, genau wie moderne Softwarearchitekturen und Entwicklungsmethoden, immer stärker automatisiert und modulbasiert. Die Analyse von 5.446.170 statischen Scans und über 310.000 Applikationen über einen Zeitraum von 13 Monaten (September 2020 bis Oktober 2021) hinweg zeigt einen erstaunlichen Zuwachs um 143 Prozent bei der Anzahl kleiner Applikationen, wie APIs und Microservices, sowie einen Anstieg von 133 Prozent bei automatisierten Scans, die statt manuell über APIs durchgeführt wurden.

Quelle: Veracode Plattform

Quelle: Veracode Plattform

COVID-19 hat die digitale Transformation in den letzten 18 Monaten enorm vorangetrieben und Unternehmen konkurrieren inzwischen aggressiv darum, digitale Produkte und Dienstleistungen als erste anzubieten. Der Druck auf Entwickler, Software schneller als je zuvor zu entwickeln und bereitzustellen, hat den Wechsel zu DevSecOps – also die Integration von Entwicklung, Sicherheit und Betrieb einer Anwendung – beschleunigt. Dadurch wird Anwendungssicherheit zu einem integralen Bestandteil des Software-Lebenszyklus. Unternehmen setzen jetzt AppSec-Kontrollen ein, um die Integrität des Entwicklungsprozesses abzusichern und skalieren DevSecOps-Pipelinemuster im gesamten Unternehmen.

„Die zunehmende Automatisierung und Modularisierung der Softwareentwicklung hat zu einem starken Anstieg der Geschwindigkeit und der Automatisierung der Softwaresicherheit geführt. Unternehmen machen sich KI und maschinelles Lernen zunutze, um Fehler zu identifizieren, Bedrohungen zu modellieren und Probleme zu lösen“, erklärt Chris Wysopal, Co-Founder und Chief Technology Officer bei Veracode. „Wir sehen bereits, dass DevSecOps schnell an Reife gewinnt und jetzt besteht die Möglichkeit, die Sicherheit innerhalb der Designphase noch weiter nach links zu verlagern und dadurch SecDevOps zu schaffen.“

Modularisierung steigert Geschwindigkeit und Effizienz

Neben dem Anstieg bei der Automatisierung stellte Veracode auch einen Abwärtstrend bei der Komplexität und Größe des analysierten Codes fest. Dies zeigt sich in der um 30 Prozent geringeren durchschnittlichen Anzahl der pro Scan gescannten Module, was auf eine Verlagerung hin zum Scannen einzelner Komponenten oder Microservices hinweist. Dies ist angesichts der Schnelligkeit, mit der sich sowohl modulbasierte Anwendungen als auch DevOps-Verfahren durchgesetzt haben, nicht überraschend.

Quelle: Veracode Plattform

Wenn große Applikationen in kleine, wiederverwendbare Module – oder Microservices – aufgeteilt werden, können Entwickler agiler arbeiten, um schnell zu iterieren und kontinuierlich in kleinen Schritten zu liefern. Interessanterweise hat der Aufstieg der API-First-Entwicklung auch die Softwaresicherheit verbessert, da sich die durchschnittliche Zeit, die für die Behebung eines Fehlers benötigt wird, um etwa 50 Prozent halbiert, wenn statische Analysen für APIs oder Microservices zum Einsatz kommen. API-Scanning ermöglicht es Unternehmen darüber hinaus, Schwachstellen in APIs so früh und effizient wie möglich zu finden und zu beheben.

Quelle: Veracode Plattform

Softwaresicherheit muss umfassend, aber nicht eindringlich sein

Angesichts steigender Kosten und Komplexität bei modernen Softwareentwicklungsverfahren benötigen Unternehmen zunehmend eine umfassende, vollständig integrierte Sicherheitsplattform mit weniger unterschiedlichen Tools. Diese Plattform unterstützt eine umfassende Sicherheit, weil sie:

  • in der Designphase mit der Modellierung von Bedrohungen beginnt und sicherstellt, dass nur sichere Komponenten in das Design aufgenommen werden. Dadurch wird die Sicherheit noch weiter nach links verlagert, so dass DevSecOps nun zu SecDevOps wird und die Software "secure by design" ist.
     
  • vollständig integriert, aber auch offen für neue Technologie-Plugins ist, bei gleichzeitig umfassender Abdeckung, die jede mögliche Dimension des Codes analysiert. Dieser Ansatz ermöglicht es Sicherheitsexperten und Entwicklern, Risiken zu verstehen, Prioritäten für Gegenmaßnahmen zu setzen und Fortschrittsziele über mehrere Dimensionen hinweg zu definieren und zu überwachen.
     
  • eine reibungslose Erfahrung für Entwickler bietet, die es ermöglicht, Sicherheitsanalysen dort durchzuführen, wo die Entwickler arbeiten – innerhalb der IDE (Integrated Development Environment), der CI/CD (Continous Integration/Continous Development)-Pipelines, der Code- und Container-Repositorys und der Defect-Tracking-Systeme.

„Die jüngsten Angriffe wie der Solar Winds-Hack haben die Verwundbarkeit der Software-Lieferkette ins Bewusstsein gerückt“, ergänzt Wysopal. „Unternehmen suchen jetzt nach der nächsten Evolution der Softwaresicherheit, auf die sie sich verlassen können. Das bedeutet, dass sie die Gewissheit einer kontinuierlichen Orchestrierung bieten müssen, wie beispielsweise die Definition und Verwaltung von Richtlinien, eine Inline-Sanierung mit der Fähigkeit zur ‚Selbstheilung‘ und Laufzeitintelligenz, die alle Schwachstellen aufzeigt, die entstehen, wenn sich die zugrundeliegenden Module ändern.“

In Anbetracht der Geschwindigkeit, mit der sich Software-Schwachstellen entwickeln können, wie erst kürzlich die Zero-Day-Schwachstelle in Log4j 2.x gezeigt hat, die letzte Woche entdeckt wurde und immer noch ausgenutzt wird, darf die Bedeutung einer kontinuierlichen und noch weiter nach links gerückten Sicherheit nicht unterschätzt werden.

www.veracode.com
 


Weitere Artikel

Legacy

Auf diese Legacy-Trends muss im neuen Jahr geachtet werden

Eine neue Generation von IT-Verantwortlichen, Microservices und Cloud: IT-Dienstleister Avision erläutert, welche Trends im Jahr 2022 die Altanwendungen von Unternehmen prägen werden.
Systemintegration

Next Generation IT-Integration

Dass sich widersprüchliche und lückenhafte Daten negativ auf den Geschäftserfolg auswirken, wird inzwischen fast überall wahrgenommen. Welchen Stellenwert dieser Effekt für die weitere Digitalisierung und den damit verbundenen Wandel im Unternehmen hat, wird…
FNT GraphicCenter

FNT GraphicCenter: Visualisierung und Analyse von Infrastruktur- und Servicedaten

Leistungsfähige, störungsfreie und flexible Infrastrukturen sind die Basis für alle digitalen Geschäftsprozesse und Anwendungen, seien es Smart Cities, Industrie 4.0 oder auch 5G. Mit den cloudbasierten Softwarelösungen der Ellwanger FNT GmbH erfassen,…
DevOps

Die DevOps/DevSecOps-Vorhersagen für 2022

So wie DevOps, ist der DevSecOps-Ansatz kein Produkt, dass man kauft, oder eine Lösung, die man implementiert. Es erfordert einen Kulturwandel im Unternehmen. Wie kann man also eine Strategie für DevOps und DevSecOps im Jahr 2022 formulieren?

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.