Sicherheit im Software Development Lifecycle

Die Vorteile von DevSecOps

| Autor / Redakteur: Julian Totzek-Hallhuber / Peter Schmitz

Richtig eingesetzt kann DevSecOps Effizienz und Agilität mit Sicherheit kombinieren.
Richtig eingesetzt kann DevSecOps Effizienz und Agilität mit Sicherheit kombinieren. (Bild: gemeinfrei)

DevOps befindet sich auf einem Siegeszug. In Zeiten gestiegener Anforderungen an reibungslos verfügbare Services wissen Unternehmen um die Vorteile verzahnter Arbeitsweisen, die verlässlichere Services und kürzere Entwicklungszyklen ermöglicht. Mit Erweiterung um den Sicherheitsaspekt hat sich der DevSecOps-Ansatz als weiterer wichtiger Bestandteil der Anwendungsentwicklung etabliert.

DevOps befindet sich in den Entwicklungsabteilungen der Unternehmen längst auf dem Siegeszug. In der jüngeren Vergangenheit hat sich der DevSecOps-Ansatz mit der Erweiterung um den Sicherheitsaspekt als weiterer wichtiger Bestandteil der Anwendungsentwicklung etabliert. Dies liegt zum einen an den schärferen Datenschutzgesetzen und zum anderen an den immanenten Schwächen von IT-Umgebungen, die in der jüngeren Vergangenheit durch Sicherheitslücken wie Meltdown und Spectre oder Angriffswellen wie WannaCry und NotPetya offenkundig wurden.

Dynamische Entwicklungsansätze und eine DevOps-Kultur sind heutzutage ein wesentlicher Faktor für den Geschäftserfolg. Dieser Meinung sind 88 Prozent der deutschen Unternehmen in einer Umfrage von Coleman Parkes. Durch DevOps-Praktiken lassen sich dynamische Entwicklungszyklen für Business-Anwendungen bereitstellen und mit der Verlässlichkeit des IT-Betriebs kombinieren. Unternehmen wissen, dass sie so eine schnellere und agilere Entwicklung ermöglichen und auf die Anforderungen des digitalen Geschäftsumfeldes besser eingehen können, indem sie die Experten aus bisher separat agierenden Abteilungen an einen Tisch bringen.

DevOps zu DevSecOps weiterentwickeln

Sicherheit für DevOps-Prozesse

DevOps zu DevSecOps weiterentwickeln

20.09.18 - Immer mehr Unternehmen nutzen DevOps-Modelle für die flexiblere und effizientere Be­reit­stel­lung von Applikationen. DevOps bildet dabei die Basis für eine kürzere Time-to-Market, eine bessere Produktqualität und höhere Kunden­zufriedenheit, birgt aber auch erhebliche Sicherheitsrisiken in sich. DevOps muss deshalb zu DevSecOps weiterentwickelt werden. lesen

Kürzere Release-Zyklen sind ein Sicherheitsrisiko

Doch kürzere Intervalle zwischen Software-Releases haben auch ihre Schattenseiten. Denn sie führen bei den beteiligten Entwicklern zu einem extremen Zeitdruck. Das geht allzu häufig auf Kosten der Sicherheit. Das zeigt der „State of Software Security“-Report von Veracode. Demnach enthalten mehr als 85 Prozent aller Applikationen mindestens eine Schwachstelle, bei mehr als 13 Prozent handelt es sich sogar um eine kritische.

Die Schwachstellen selbst sind dabei nur die eine Hälfte des Problems. Entscheidend ist auch, ob die Verantwortlichen in der Lage sind, diese zu entdecken und wie lange es dauert, sie wieder zu beheben. Denn im Fall von Software-Release-Zyklen ist Zeit gleich Geld. Je später Fehler oder Schwachstellen im Software Development Lifecycle (SDLC) offensichtlich werden, desto aufwändiger und teurer wird es, diese zu beheben. Findet das Team vor Veröffentlichung noch Schwachstellen, ist es gezwungen, Patches aufzuspielen. Erfolgt die Entdeckung sogar erst nach der Live-Schaltung, verlängert sich der Release um eine weitere Testphase. Im Worst Case bleibt die Schwachstelle bis nach dem Release unentdeckt und Angreifer sind in der Lage, sich Zugriff zu verschaffen und somit Datenlecks oder Ausfälle hervorzurufen, was neben Bußgeldzahlungen oder strafrechtlichen Konsequenzen auch Reputationsschäden nach sich ziehen kann.

Laut dem National Institute of Standards and Technology (NIST) steigen die Kosten bis auf das Zehnfache, wenn Fehler in einer Software nach der Testphase entdeckt werden. Wie der „State of Software Security“-Report aufdeckt, bleiben in mehr als 70 Prozent der Fälle einen Monat nach der Entdeckung die Schwachstellen bestehen, in 55 Prozent sogar nach drei Monaten.

DevSecOps technisch unterstützen

WAF und Reverse Proxy

DevSecOps technisch unterstützen

19.02.18 - Die Gewohnheit, bei der Entwicklung von Webapplikationen erst zum Schluss an die IT-Sicherheit zu denken, ist nicht zukunftsfähig. Durch Cyberangriffe in den Medien geraten Unternehmen zunehmend unter Druck, ihre Sicherheitsmaßnahmen zu verbessern. In Geschäftsbereichen wie dem Bank- und Finanzwesen, in denen IT-Sicherheit einen besonders hohen Stellenwert hat, hat sich die Situation bereits verbessert, aber vielerorts verharrt man in den alten Mustern. lesen

Sicherheit in den SDLC integrieren

Sicherheit ist also nicht nur aus Datenschutz- und Reputationsgründen ein essentieller Bestandteil von Software-Releases, sondern ist inzwischen auch ein Kostenfaktor. Um dynamische Entwicklung mit angemessener Sicherheit ausbalancieren zu können, erweitern immer mehr Unternehmen ihre DevOps-Praktiken zu einem DevSecOps-Ansatz weiter.

Indem sie Sicherheit im gesamten Entwicklungsprozess zu einem grundlegenden Bestandteil der Software-Entwicklung machen, sparen sich Teams die rückwirkende Beseitigung von Schwachstellen und somit spätere unterwartete Änderungsschleifen, da sie Sicherheitsscans nicht mehr nur punktuell, sondern zu verschiedenen Zeiten der Entwicklungsphase Sicherheitsscans durchführen können.

Entwickler und IT-Security ziehen an einem Strang

DevSecOps

Entwickler und IT-Security ziehen an einem Strang

14.06.17 - Vielen gelten die Prioritäten von Software-Entwicklern und Mitarbeitern der IT-Sicherheit als unvereinbar – die einen wollen möglichst schnell arbeiten, die anderen möglichst sorgfältig. Eine neue Studie von Veracode und den IT-Beratern der Enterprise Strategy Group (ESG) zeigt jetzt, dass die beiden Abteilungen durchaus in der Lage sind, an einem Strang zu ziehen. lesen

DevSecOps-Profis belegen Effektivität

Der „State of Software Security“-Report zeigt, wie erfolgreich die noch rar gesäten DevSecOps-Einhörner dabei sind, Schwachstellen in ihren Anwendungen zu beseitigen. Während zwei Drittel aller Applikationen weniger als sechs Mal pro Jahr auf Schwachstellen gescannt wird, kommen diese Unternehmen auf über 300 Scans pro Jahr. Dadurch sind sie in der Lage, die Schwachpunkte in ihren Programmen 11,5-mal schneller zu beheben als andere Unternehmen. Indem die Anzahl der Scans von 1-12 auf mindestens 50 erhöht wird, sind Unternehmen bereits in der Lage, die Anzahl der Schwachstellen nach 50 Tagen von 72 Prozent auf 38 Prozent zu senken.

Auch wenn die Vorteile des DevSecOps-Ansatzes schon vielen Unternehmen bekannt sein dürfen, fällt die Umstellung häufig schwer. Analog zur Implementierung von DevOps erfordert DevSecOps von allen Beteiligten eine hohe Kooperationsbereitschaft. Die Zusammenarbeit von Entwicklern, IT-Betriebspersonal und Sicherheitsexperten führt häufig zu Konflikten, da die individuellen Schwerpunkte den Interessen der anderen Parteien gegensteuern. Der Weg von DevOps zu DevSecOps wird weniger von den technologischen Voraussetzungen erschwert, sondern vom Mindset der Mitarbeiter. Für viele stellt eine Umstellung auf agile Methoden eine extreme Veränderung dar. Unternehmen müssen durch entsprechende Trainings dafür sorgen, dass unternehmensweit eine transparente und offene Unternehmenskultur herrscht. Ebenso muss vom Management von Beginn an ein Prozess aufgesetzt werden, der Agilität und Sicherheit gleichermaßen berücksichtigt und voneinander profitieren lässt.

DevSecOps-Automatisierung hilft Development-Teams

Sonatype-Studie zur Applikationssicherheit

DevSecOps-Automatisierung hilft Development-Teams

05.04.17 - Professionelle Software-Hersteller haben bereits weitreichend DevOps-Praktiken umgesetzt und lassen auch Sicherheitsaspekte vermehrt automatisiert in die Strategie mit einfließen. Zu diesem Schluss kommt eine Studie von Sonatype, einem Anbieter von Software-Supply-Chain-Automatisierung. lesen

Fazit: Sicherheit als Grundausstattung von Applikationen

Auch wenn der Aufwand zu Beginn sehr hoch ausfällt, zeigt sich, dass ein DevSecOps-Ansatz eine sinnvolle Ergänzung für Software-Entwicklungs-Zyklen ist und schon mittelfristig große Vorteile mit sich bringt. Die Umstellung wird zudem dadurch erleichtert, dass Anbieter die Zeichen der Zeit erkannt haben und Lösungen bereitstellen, welche die Arbeit von DevSecOps-Teams erleichtern. RASP (Runtime Application Self-Protection) ist eine eigenständige Sicherheitstechnologie, die Applikationen kontinuierlich schützt und entdeckte Angriffe eigenständig meldet. SCA (Software Composition Analysis) ermöglicht Entwicklern unter anderem, Open-Source-Software produktiv zu nutzen, indem es die Komposition von Applikationen und deren Inkrementen analysiert.

Mit solchen und weiteren Technologien ausgestattet, fällt für agile Teams wenig Zusatzaufwand an und ermöglicht sogar, DevSecOps auch ohne geschulte Sicherheitsfachkräfte anzugehen. Unternehmen haben also alle Möglichkeiten, um Sicherheit bei der Entwicklung ihrer Applikationen die Priorität einzuräumen, die sie verdient.

Über den Autor: Julian Totzek-Hallhuber ist Solution Architect beim Spezialisten für Anwendungssicherheit Veracode und bringt mehr als 15 Jahre Erfahrung im IT-Sicherheitsumfeld mit. In seinen verschiedenen Funktionen war er für die Anwendungsentwicklung, für Penetrationstests sowie für die Sicherheit von Webanwendungen zuständig. Zudem ist er Autor zahlreicher Artikel, ist regelmäßig als Sprecher auf Messen anzutreffen und hat bei Projekten des Web Application Security Consortium, wie zum Beispiel WAFEC, mitgewirkt.

Sicherheitstests in der DevOps-Toolchain

Studie „DevSecOps – Wirklichkeit und Möglichkeiten“

Sicherheitstests in der DevOps-Toolchain

08.06.18 - Unter dem Titel „DevSecOps Realities and Opportunities“ hat Synopsys eine Studie veröffentlicht, die sich mit Application Security Testing in DevOps-Strukturen beschäftigt. Anwendungssicherheit komme demnach im Zuge der kontinuierlichen Integration und Auslieferung zu kurz. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45793677 / Softwareentwicklung)