Anzeige

Anzeige

VERANSTALTUNGEN

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Schloss Hologramm

Unternehmen, die einen schnelleren Innovationszyklus anstreben, müssen über den Tellerrand ihrer herkömmlichen Tools hinausgehen. Denn diese schränken oft die funktionsübergreifende Zusammenarbeit und Automatisierung ein. Eine (bessere) Abstimmung der Sicherheits- und DevOps-Prozesse bietet eine hervorragende Gelegenheit, Optimierungspotenzial zu realisieren.

So sollten Prozesse zum Auffinden und Beheben von Sicherheitslücken in Anwendungen mit den agilen DevOps-Prozessen zur Erstellung und Bereitstellung der Software einhergehen. Denn einen reibungslosen Sicherheitsprozess für Anwendungen in einer DevOps-Umgebung zu gewährleisten, ist schwierig, wenn die beiden Prozesse und Tools nicht zusammenarbeiten.

DevOps-Funktionen konzentrieren sich bisher tendenziell auf die Automatisierung, um kontinuierliche Workflows zu erstellen, die die Innovationsfähigkeit des Unternehmens verbessern. Infolgedessen haben eine Reihe verschiedener Start-ups und etablierter Anbieter neue Produkte auf den Markt gebracht, die diesem Bedarf gerecht werden. Leider konzentrieren sich diese neuen Tools auf bestimmte Segmente des Workflows, wie z. B. Ticket- und Issue-Tracking und kontinuierliche Integration. Diese Fragmentierung erfordert eine Vielzahl von APIs und Schnittstellen, die die Segmente zu einer DevOps-Toolchain verbinden und den gesamten Softwareentwicklungszyklus (Software Development Life Cycle, SDLC) abdecken.

Verbesserte Effektivität des DevOps-Sicherheitsprogramms

Die Integration dieser neuen Sicherheitstools in eine bereits komplexe DevOps-Toolkette führt zu einem ganzen Geflecht an Benutzeroberflächen, Workflow-Silos und unzusammenhängenden Daten. Die kommerzielle Ausrichtung von Unternehmen, die Sicherheits-Tools anbieten, verschärft dieses Komplexitätsproblem zusätzlich: Viele haben ihre Portfolios durch Akquisition von Know-how aufgebaut und vermarkten diese neuen Technologien weiterhin einzeln oder als Dashboard-Produkte. Infolgedessen ist bei vielen Produkten noch Luft nach oben, wenn es gilt, die Effektivität des DevOps-Sicherheitsprogramms zu verbessern.

Kunden, die unter dem Druck stehen, Innovationen schneller liefern zu müssen, benötigen eine sinnvolle Alternative, um das ganze Spektrum von Sicherheits- und DevOps-Tools zu bewältigen. Aber lässt sich Sicherheit überhaupt – ähnlich wie bei Entwicklungsprozess – mit einem iterativen Ansatz verfolgen?

Um diese Angleichung zu erreichen, sind Tests zur Anwendungssicherheit, sogenannte DevSecOps-Techniken, erforderlich, die in den Workflow und die kontinuierliche Integration (Continuous Integration, CI) eingebettet werden können. Bei einem solchen Ansatz werden Sicherheits-scans bei jedem Code-Commit automatisiert, sodass jede Codeänderung sofort auf Schwachstellen überprüft wird. Jede Änderung wird prompt ausgewertet und dem Entwickler als Teil der bestehenden Workflows zur Verfügung gestellt. Der Vorteil dabei: Er muss nicht bis zum Schluss auf einen monolithischen Sicherheitstest warten. Vielmehr können Entwickler die Auswirkungen ihrer eigenen Änderungen leicht erkennen, ohne dabei durch die von Kollegen eingeführten Schwachstellen behindert zu werden.

Diese eindeutige und iterative Sicherheitsüberprüfung ermöglicht auch eine bessere Nutzung der Teamressourcen. Der Entwickler kann schnell viele Schwachstellen beseitigen und das Sicherheitsteam kann sich stärker auf Mängel konzentrieren, die nicht einfach zu beheben sind. Im günstigsten Fall bedeutet dies, dass die Experten für Anwendungssicherheit mit diesen Schwachstellen überhaupt nicht mehr konfrontiert werden, da sie bereits vom Entwickler identifiziert und behoben wurden.

Parität zwischen Sicherheitskorrekturen und Bugfixes

Durch das Aufbrechen von Tool“silos“ wird eine funktionsübergreifende Zusammenarbeit zwischen Entwicklungs- und Sicherheitsteams erreicht: Jedes Team betrachtet die gleichen Daten im jeweilig relevanten Kontext. Dabei erreichen Sicherheitskorrekturen eine Parität mit Bugfixes, da sie nicht länger durch fragmentierte Systeme behindert werden.

Dieser Ansatz hat weitreichende Vorteile:

  • Das Scannen der Anwendungssicherheit wird parallel zur Entwicklung iterativ
  • Sicherheitslücken werden bereits zum Einführungszeitpunkt erkannt
  • Die Verantwortlichkeiten sind eindeutig: Wer hat wo Schwachstellen eingeführt - mit eindeutiger Ursache und Wirkung
  • Entwickler können Schwachstellen mit weniger Nacharbeit und ohne Kontextwechsel beheben
  • Durch die Automatisierung können Fehler behoben werden, indem anfällige Codebibliotheken durch sicherere Patches ersetzt werden, während sich der Code noch in der Hand des Entwicklers befindet
  • Reduziertes Tracking / Triaging mit höherer Produktivität für Entwickler und Sicherheit

Die Effizienzsteigerung ist ein sehr effektiver Weg für ein Programm zur Anwendungssicherheit, um mehr Anwendungen im DevOps-Portfolio zu skalieren und zu bewerten. Während das Entwicklerteam die richtigen Mitarbeiter und Prozesse einbeziehen muss, ist ein Tool, das neue Sicherheitsprozesse ermöglicht, ein sinnvoller Ausgangspunkt.

Eine einzige Anwendung für den gesamten DevOps-Lebenszyklus ist eine Möglichkeit, Tests zur Anwendungssicherheit anzubieten, die in den CI-Prozess eingebettet sind. Mithilfe dieses neuen Ansatzes beheben Application Security Testing-Programme einzelne Sicherheitsschwachstellen schon während der Entwicklung, anstatt die kompletten Sicherheitslücken vor der Produktion zu ermitteln. Sogenannte Catch-All-Scan-Prozesse sind zwar in der Lage mehrere Tausend Sicherheitslücken aufdecken, können aber auch zu großen Herausforderungen führen, z. B. wenn das Sicherheitsteam die Aufgaben im Behebungsplan priorisieren muss, das Entwicklungsteam jedoch durch das Ausmaß der erforderlichen Nacharbeit demotiviert wird.

Damit gelingt es Unternehmen, ihre Sicherheits- und DevOps-Prozesse aufeinander abstimmen und gleichzeitig ihre Innovationsfähigkeit steigern. Indem sie über das Netz komplexer Tools hinausblicken, die die funktionsübergreifende Zusammenarbeit und Automatisierung derzeit noch einschränken, wird ihnen eine kontinuierliche Anwendungssicherheit besser gelingen.
 

Cindy Blake, Senior Security Evangelist
Cindy Blake
Senior Security Evangelist, GitLab
Cindy Blake arbeitet mit Großunternehmen zusammen, um Best Practices für integrierte DevSecOps Anwendungssicherheitslösungen zu entwickeln. 

Neuste Artikel

HR 2020

HR und Recruiting: Das wird 2020 wichtig

Geschwindigkeit und Flexibilität – das sind nach Einschätzung der internationalen Personalberatung Robert Walters die entscheidenden Faktoren für erfolgreiche Personalarbeit in diesem Jahr – vor allem, wenn es um das Gewinnen neuer Mitarbeiter geht.
Puzzle

Demant launcht EPOS

Sennheiser Communications A/S, das Joint Venture zwischen Demant A/S und der Sennheiser Electronic GmbH & Co. KG, hatte bereits angekündigt, dass es sich in einer neuen Konstellation weiterentwickeln wird. Im Jahr 2020 endet nun das Joint-Venture.
Strategiegipfel IT Management

Die IT als Technology Innovator

Über den Weg zur digitalen IT-Organisation und wie digitale Technologien die Struktur, die Rollen und das Verständnis der IT im Unternehmen verändern, spricht CIO Sinanudin Omerhodzic, Chief Information Officer bei der Paul Hartmann AG auf dem Strategiegipfel…
Field Service Management

Field Service Management: Flexibilität als oberstes Gebot

Field Service Management-Lösungen bieten für Unternehmen viele Vorteile – von erhöhter Produktivität bis hin zu mehr Effizienz. Die Implementierung solcher Lösungen ist allerdings auch mit Herausforderungen an Management und Belegschaft verbunden.
Puzzle Hand

FireEye übernimmt Cloudvisory

FireEye, Inc. (NASDAQ: FEYE), übernimmt Cloudvisory. Mit der Akquisition, die das Unternehmen am 17. Januar 2020 abgeschlossen hat, erweitert FireEye seine Plattform Helix um Sicherheitsfunktionen für Cloud-Workloads und bietet künftig eine integrierte…
Passwort vergessen

Vergessene Passwörter kosten Firmen viel Geld

Unternehmen würden massiv IT-Kosten sparen, wenn sie komplett auf Passwörter verzichteten. Andere Formen der Authentifizierung wie beispielsweise biometrische Scans sind wesentlich kosteneffizienter und auch sicherer als gewöhnliche Passworteingaben. Das…

Anzeige

GRID LIST
Hacker

Conversation Hijacking: Schutz vor hochpersonalisierten Angriffen

Beim Conversation Hijacking klinken sich Cyberkriminelle in bestehende…
Hacker

Trickreiche Cyber-Angriffe fokussieren mehr auf KMUs

„Kleine und mittelständische Unternehmen tun gut daran, das Risiko von Cyber-Angriffen…
Tb W190 H80 Crop Int 18a7f2e3a514753b9748ffff7b3b3747

Der Quantencomputer gefährdet schon heute die Datensicherheit

Die nächste IT-Ära lässt noch lange auf sich warten. Wann der Quantencomputer kommerziell…
Tb W190 H80 Crop Int Dad59e0147e6775ec7d5e340684fdd27

Mit Plan zur IT-Sicherheit

Unternehmen sehen sich immer größeren Gefahren der Cyberkriminalität gegenüber.…
5g Cyber Security

Cybersicherheit soll das Potenzial von 5G nicht einschränken

Da immer mehr „Dinge“ digitalisiert werden, gilt es immer größere Datenmengen zu bewegen…
Mythos

Die 5 hartnäckigsten Cybersecurity-Mythen

Auch im Zeitalter der Digitalisierung ranken sich noch zahlreiche Mythen rund um das…