• IT-Security, DevSecOps, Entwicklung

    Nach wie vor integrieren zu wenige Entwickler Sicherheitsmechanismen von Grund auf in ihre Anwendungen, warnen die Sicherheitsexperten von Radware. Hacker können daher zunehmend Schwachstellen in Anwendungen oder APIs ausnutzen, die während des Entwicklungsprozesses übersehen wurden. Nach Untersuchungen von Radware sind DevOps und App-Entwickler sehr offen gegenüber Open Source Code (67%), Microservices (68%) und serverlosen Frameworks (73%), die im Allgemeinen standardmäßig als sicherer empfunden werden. Darüber hinaus werden 70% der Webanwendungen mindestens einmal pro Woche modifiziert. In der Folge versäumt es über die Hälfte der Unternehmen, die Sicherheit in ihre CI/CD-Pipeline(Continuous Integration / Continuous Delivery) zu integrieren. Stattdessen ziehen Entwicklerteams es vor, sich im Nachhinein mit möglichen Schwachstellen und Risiken zu befassen, wenn sie höchstwahrscheinlich längst mit einer anderen Aufgabe beschäftigt sind. Mit anderen Worten: Sicherheit ist nicht in die App integriert, und Sicherheitslücken gerade in APIs fallen während des Entwicklungsprozesses häufig nicht auf.

    Eine mögliche Lösung dieses Problems ist laut Radware die Integration von DevSecOps-Ingenieuren in die Entwicklungsteams. Die Aufgabe von DevSecOps besteht darin, eingebettete Sicherheit von unten nach oben aufzubauen, die über rein technologische Lösungen hinausgeht, indem sie die Kluft zwischen den widersprüchlichen Agenden der Anwendungsentwickler und der Sicherheitsverantwortlichen überbrückt. DevSecOps sind normalerweise Anwendungssicherheitsexperten, die als Teil des Anwendungsentwicklungsteams arbeiten, um sicheren Code zu schreiben. Zwei von fünf Organisationen haben nach Umfragen von Radware jedoch noch keinen DevSecOps-Experten eingestellt.

    Drei erforderliche Fähigkeiten

    Dabei ist die Integration eines DevSecOps-Ingenieurs in das Team ein großer erster Schritt. Ihnen sollten jedoch die Werkzeuge an die Hand gegeben werden, um eine Wirkung zu erzielen – d.h. sichereren Code freizugeben, der auf Schwachstellen gescannt wird, eingebettete Zugangskontrollen hat und sensible Daten schützt mit dem Endziel, tatsächlich sicherere Softwareprodukte zu entwickeln und zu liefern.

    Um dieses Ziel zu erreichen, ist mehr erforderlich als nur Wissen über Anwendungssicherheit:

    1. Fähigkeiten im Bereich zwischenmenschlicher Beziehungen sind ebenso wichtig wie technische Fähigkeiten, etwa das Schreiben von Code oder die Entwicklung von Software. Hier geht es um Konfliktmanagement und die Fähigkeit, alle – Kollegen wie Vorgesetzte – auf ein gemeinsames Ziel auszurichten und das richtige Gleichgewicht zwischen Produktivität und Sicherheit zu finden.

    2. Vertrautheit mit möglichst vielen CI/CD-Tools. Da jedes Team unterschiedliche Tools verwendet und jeder DevOps-Leiter eine andere Architektur für seine CI/CD-Pipeline entwirft, wird nicht jede Sicherheitslösung passen. Wenn sie nicht passt, führt dies zu Unterbrechungen, verlangsamt die Freigabe und macht das Unternehmen verwundbar. Selbst die besten Sicherheitslösungen lassen sich nicht immer nahtlos in die CI/CD-Pipeline integrieren, und DevOps würde normalerweise einer nahtlosen Integration einen höheren Stellenwert beimessen als der Sicherheit. Dies bedeutet, dass der DevSecOps-Ingenieur eine breite Übersicht über Sicherheitswerkzeuge und deren Interoperabilität mit gängigen Technologien verfügen muss, die in verschiedenen Entwicklungsumgebungen eingesetzt werden. Die Fähigkeit, Sicherheitsmaßnahmen schnell in die CI/CD-Pipeline-Prozesse zu integrieren, ist das, worum es bei DevSecOps geht.

    3. Expertise im Threat Modeling: Ein Sicherheitshintergrund ist ein guter Anfang, zumal es sich bei DevSecOps in vielen Fällen um Software-Ingenieure handelt, die Sicherheitsverantwortung übernommen haben. Dennoch sind Kenntnisse im Bereich der Bedrohungsmodellierung von entscheidender Bedeutung. Der DevSecOps-Ingenieur geht das Design durch, um Schwachstellen in Komponenten und Datenflüssen zu finden, um später mögliche Bedrohungen abzubilden und schließlich die Sicherheitskontrollen und -lösungen zu priorisieren, die eingesetzt werden sollen.

    Der Erfolg von DevSecOps hängt sehr stark von dem Verständnis ab, dass die Rolle nicht nur technischer, sondern auch verfahrenstechnischer Natur ist. Sie sind diejenigen, die integrierte Sicherheit von unten nach oben erleichtern können, um die von oben nach unten gestellten Erwartungen zu erfüllen. Die Einführung von Anwendungen auf der Grundlage eines sichereren Codes wird nicht alle Sicherheitsrisiken lösen, aber zumindest das Vertrauen der Kunden fördern.

    Verantwortlicher für diese Pressemitteilung:

    Radware GmbH
    Herr Michael Tullius
    Robert-Bosch-Str. 11a
    63225 Langen
    Deutschland

    fon ..: +49 6103 70657-0
    web ..: http://www.radware.com
    email : info_de@radware.com

    Pressekontakt:

    Prolog Communications GmbH
    Herr Achim Heinze
    Sendlinger Str. 24
    80331 München

    fon ..: +49 89 800 77-0
    web ..: http://www.prolog-pr.com
    email : achim.heinze@prolog-pr.com


    Disclaimer: Diese Pressemitteilung wird für den darin namentlich genannten Verantwortlichen gespeichert. Sie gibt seine Meinung und Tatsachenbehauptungen und nicht unbedingt die des Diensteanbieters wieder. Der Anbieter distanziert sich daher ausdrücklich von den fremden Inhalten und macht sich diese nicht zu eigen.

    Bitte beachten Sie, dass für den Inhalt der hier veröffentlichten Meldung nicht der Betreiber von Artikel-auf-Blogs.de verantwortlich ist, sondern der Verfasser der jeweiligen Meldung selbst. Weitere Infos zur Haftung, Links und Urheberrecht finden Sie in den AGB.

    Radware empfiehlt Security by Design durch Integration von DevSecOps in Entwicklerteams

    veröffentlicht am 24. Juni 2020 in der Rubrik Allgemein
    Artikel wurde auf diesem Blog 40 x angesehen • Artikel-ID: 112787

    Sie wollen diesen Content verlinken? Der Quellcode lautet: