K&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxK&C_Icons_32pxic_agile_128ic_business_128ic_agile_white_128ic_banknote_smile_128ic_business_128ic_business_128ic_checkmark_128ic_client_team_manager_128ic_code_file_128ic_code_files_128ic_corporate_cloud_platforms_128ic_crossplatform_apps_128ic_dedicated_team_128ic_developer_128ic_development_team_128ic_enterprise_128ic_faster_timeframe_128ic_fixed_price_128ic_graph_down_128ic_graph_down_128ic_hourly_128ic_hourly_white_128ic_information_finder_128ic_junior_developer_128ic_managed_team_128ic_message_128ic_mobile_app_startups_128ic_mobile_development_128ic_mobile_development_up_128ic_mobile_devices_128ic_multiplatform_128ic_multiplatform_white_128ic_pricetag_128ic_project_checklist_128ic_project_management_128ic_project_management_team_128ic_research_and_development_team_128ic_scalable_team_128ic_senior_developer_128ic_smaller_codebase_128ic_smaller_price_128ic_startup_128ic_team_manager_128ic_three_times_faster_128Arrow_Dropdownic_001_google+_16ic_002_xing_16Group 2ic_003_facebook_16ic_004_linkedIn_16Groupic_005_message_16ic_006_upload_16ic_007_remove_16ic_008_email_16ic_009_attachment_16ic_010_file_16ic_011_name_16ic_012_arrow_left_16ic_013_arrow_right_16ic_014_arrow_down_16ic_015_arrow_up_16ic_016_dropdown_arrow_down_16ic_016_dropdown_arrow_leftic_016_dropdown_arrow_rightic_017_K&C_dropdown_arrow_up_16ic_018_language_16ic_019_Quote_16ic_020_+_16ic_021_=_16ic_022_phone_16ic_023_twitter_16ic_024_position_16ic_025_company_16ic_026_search_16ic_027_mobile_16ic_028_fax_16ic_029_location_16ic_030_enlarge_16ic_031_downscale_16ic_032_contactic_download_normal_16pxic_033_skype_16ic_006_download_16 copySearchGroup 26Rss_font_awesomelinkedintwitterConsul_VerticalLogo_FullColorPacker_VerticalLogo_FullColorTerraform_VerticalLogo_FullColorVault_VerticalLogo_FullColorethereum_black_64ic_Interest_based_64ic_acrivate_card_64ic_api_client_64ic_application_architecture_64ic_application_architecture_ white_64ic_application_development_user_64ic_application_development_user_64ic_arrow_down_64ic_automated_backups_64ic_automated_infrastructure_provisioning_64ic_automated_infrastructure_provisioning_white_64ic_automated_storage_64ic_automated_storage_64ic_automation_64ic_microservice_architecture_64ic_avaliability_across_the_world_64ic_avaliability_across_the_world_white_64ic_blockchain_64ic_blockchain_white_64ic_brackets_64ic_brackets_64ic_build_64ic_build_64ic_build_64ic_business_64ic_business_partnership_64ic_business_partnership_white_64ic_business_64ic_calculator_64ic_calendar_64ic_calendar_64ic_car_rent_64ic_card_renewal_64ic_chat_64ic_chat_bubbles_64ic_chat_bubbles_64ic_chat_white_64ic_checklist_64ic_checkmark_64ic_blockchain_64ic_smart_development_64ic_blockchain_consulting_64ic_checkmark_white_64ic_clock_64ic_clock_white_64ic_cloud_media_64ic_cloud_solutionsic_cloud_solutions_whiteic_cluster_64ic_cluster_white_64ic_code_base_optimization_64ic_coding_64ic_coding_white_64ic_commenting_widget_64ic_commenting_widget_64ic_containers_64ic_containers_white_64ic_continious_64ic_continious_delivery_64ic_continious_delivery_white_64ic_continious_release_64ic_continious_release_white_64ic_continious_white_64ic_cost_saving_64ic_cost_saving_white_64ic_cpu_load_64ic_credit_card_64ic_crossplatform_app_development_64ic_crossplatform_app_development_white_64ic_custom_crm_64ic_custom_crm_64ic_independence_consulring_64ic_database_calls_64ic_database_calls_white_64ic_dedicated_teams_64ic_dedicated_teams_64ic_desktop_application_user_64ic_desktop_application_user_64ic_desktop_code_64ic_desktop_code_white_64ic_developer_64ic_developer_white_64ic_development_64ic_devops_64ic_devops_64ic_documents_64ic_documents_graph_64ic_documents_graph_white_64ic_documents_white_64ic_download_presentation_64ic_education_64ic_email_open_64ic_email_open_white_64ic_environment_healthcheckethereum_white_64ic_euro_64ic_euro_white_64ic_failure_solved_64ic_gdpr_64ic_globe_outlines_64ic_good_quality_64ic_high_load_websites_64ic_high_load_websites_white_64ic_hotel_booking_64ic_inability_64ic_inability_white_64ic_increase_64ic_increase_white_64ic_increasing_team_64ic_independence_64ic_integration_64ic_it_outsourcing_64ic_it_outsourcing_64ic_knowledge_sharing_64ic_mobile_devices_64ic_laptop_user_64ic_laptop_user_white_64ic_launch_64ic_launch_white_64ic_learning_64ic_learning_two_white_64ic_lighthouse_64ic_link_64ic_load_balancer_64ic_load_balancer_64ic_load_card_64ic_lock_64ic_lock_white_64ic_low_cost_64ic_low_load_websites_64ic_maintenance_tools_64ic_maintenance_tools_white_64ic_media_player_64ic_media_player_white_64ic_messaging_platforms_64ic_microservice_architecture_64ic_microservices_64ic_microservices_64ic_mobile_app_64ic_mobile_app_64ic_mobile_content_64ic_mobile_development_64ic_mobile_development_white_64ic_mobile_devices_64ic_mobile_devices_white_64ic_mobile_payments_64ic_mobile_social_media_applications_64ic_mobile_workflows_64ic_money_transfers_64ic_multimedia_sharing_64ic_multimedia_sharing_white_64ic_my_garage_64ic_no_access_64ic_no_access_white_64ic_no_oldschool_64ic_online_marketplaces_64ic_online_marketplaces_white_64ic_online_trading_64ic_online_trading_64ic_pair_device_64ic_parallels_64ic_parallels_white_64ic_passcode_64ic_payment_systems_64ic_performance_64ic_performance_issues_64ic_performance_issues_white_64ic_performance_white_64ic_plane_64ic_plane_white_64ic_plus_64ic_plus_64ic_pricetags_64ic_pricetags_64ic_product_64ic_product_search_64ic_product_white_64ic_productivity_tools_64ic_productivity_tools_64ic_project_delivery_64ic_project_delivery_white_64ic_project_management_64ic_project_management_collaboration_64ic_project_management_team_64ic_project_management_team_white_64ic_project_risks_reduced_64ic_quality_mark_64ic_quality_mark_64ic_quality_mark_white_64ic_question_64ic_react_native_64ic_response_time_64ic_response_time_white_64ic_rest_api_64ic_retail_64ic_transparency_consulting_64ic_scale_up_64ic_scale_up_white_64ic_security_64ic_security_64ic_self_healing_64ic_self_healing_64 copyic_send_money_64ic_server_64ic_server_white_64ic_shopping_64ic_shopping_white_64ic_sleep_mode_64ic_small_is_beautiful_64ic_smaller_price_64ic_social_benefits_64ic_social_connections_64ic_socket_64Group 20ic_spare_parts_for_cars_64ic_spare_parts_for_cars_white_64ic_speedometer_64ic_performance_consulting_64ic_speedometer_white_64ic_startup_64ic_startup_white _64ic_target_64ic_team_64ic_testing_64ic_testing_checklist_64ic_testing_checklist_white_64ic_testing_white_64ic_three_times_faster_64ic_touch_64ic_touch_id_64ic_touch_white_64ic_transparency_64ic_ui_design_desktop_64ic_ui_design_mobile_64ic_ui_design_mobile_white_64ic_umbrella_64ic_umbrella_64ic_umbrella_white_64ic_up_and_down_scaling_64ic_up_and_down_scaling_64ic_users_64ic_users_white_64ic_ux_design_64ic_ux_design_desktop_64ic_ux_design_64ic_ux_design_white_64ic_vehicle_64ic_web_based_search_64ic_web_based_search_white_64ic_web_browser_code_64ic_web_browser_developer_mode_64ic_web_browser_user_64ic_web_development_64ic_web_development_white_64ic_web_portals_64ic_web_portals_64ic_web_user_64ic_web_user_white64ic_workflow_64ic_workflow_steps_64ic_workflow_steps_white_64ic_workflow_white_64ic_working_environment_64solidity_blackGroup 19

DevOps als DevSecOps – Integrierter Schutz vor Bedrohungen ohne Termin- und Budgetüberschreitung

Ein ganz normaler Morgen im Büro von Jim, dem CTO eines aufstrebenden Start-ups. Er nähert sich dem Ende seines 30-minütigen Rituals, nach dem erneut ein hektischer Tag beginnen wird. Wie immer überfliegt er die allgemeinen Nachrichten und Neuigkeiten aus der Tech-Start-up-Szene. Dann erregt eine Schlagzeile seine Aufmerksamkeit: Bei einem Wettbewerber gelang es Hackern, in die Systeme einzudringen. Der Vorfall scheint existenzbedrohend zu sein.

 

Jim ist keineswegs schadenfroh. Trotz allem tobt in der Start-up-Welt ein gnadenloser Konkurrenzkampf, weshalb er sich ein dezentes Grinsen nicht verkneifen kann. Immerhin hatte sich der Mitbegründer des Wettbewerbers nicht immer fair gegenüber Jim und seinem Unternehmen verhalten. Natürlich waren sie Konkurrenten. Mehr Freundlichkeit und Respekt im Umgang wäre aber dennoch angebracht gewesen.


Noch bevor Jim sich seiner Schadenfreude hingeben konnte, wandelte sich sein Lächeln in Sorgenfalten: „Was ist, wenn die Kriminellen uns angreifen? Wir haben zwar unseren IT-Sicherheitsbeauftragten Bill, er kümmert sich jedoch vorwiegend um die Infrastruktur. Gelegentlich führt er Penetrationstests durch. Allerdings haben wir wöchentliche Deployments.

MEHR

Reichen die Tests in diesem Fall überhaupt aus?“ Tatsächlich sind die Maßnahmen oftmals überfällig und umfassen nicht alle neuen Deployments. Hierdurch entstehen potenzielle Einfallstore für Angreifer.

 

Jims Situation ist keineswegs ungewöhnlich. In zahlreichen Organisationen spielen Security-Abteilungen im Entwicklungs- und Deployment-Prozess nur eine untergeordnete Rolle. Die umfassenden Sicherheitsmaßnahmen und -dokumentationen, die mit DecSecOps einhergehen, werden nicht selten als Hürde für agile Methoden, DevOps, QS und schnelle Markteinführungen interpretiert betrachtet.

 

Dies kann jedoch eine verheerende Fehleinschätzung sein, wenn Hackern ein erfolgreicher Angriff gelingt. Das Beispiel von Jims Wettbewerber, dem es offensichtlich um Kosteneinsparungen ging, zeigt das deutlich. Wird ein DevOps-Sicherheitsprozess sinnvoll integriert, bremst er die Abläufe keineswegs aus. Im Vergleich zu möglichen finanziellen Schäden durch Sicherheitsvorfälle sind die Kosten zudem vernachlässigbar.

 

Die Fortsetzung von Jims Geschichte zeigt auf, wie DevOps-Manager Continuous-Security-Standards implementieren können, ohne dass hohe Zusatzkosten entstehen. Sehen wir uns also an, wie aus DevOps DevSecOps wird.

DevOps-Security beginnt an der Spitze

Zunächst muss das Top-Management umdenken - exakt, wie Jim es befürchtet hat. Für IT-Manager steht jedoch im Vordergrund, in einem umkämpften Marktumfeld wettbewerbsfähige Funktionalitäten und reibungslos laufende Anwendungen zu realisieren. All dies erfolgt meist mit begrenzten Budgets und unter engen Terminvorgaben.

 

Jim muss also gewährleisten, dass die übergeordneten Ziele erreicht werden und sein Team gleichzeitig innerhalb einer absolut sicheren DevOps-Umgebung agiert.

 

„Was ich brauche, ist ein Prozess, der gewährleistet, dass die Anwendung und die Infrastruktur jederzeit sicher sind. Es sollte KEINE Möglichkeiten geben, ihn zu umgehen. Kurzfristige Lösungen kommen also nicht infrage. Zudem ist für den Sicherheitsverantwortlichen Bill und jeden andern Auditor eine umfassende Dokumentation wichtig. Insbesondere bei Kunden, die sich um die Sicherheit personenbezogener Daten sorgen, kann dies sogar als Alleinstellungsmerkmal angeführt werden.“

 

Jim erinnerte sich an die Probleme mit der Codequalität, die vor einigen Jahren aufgetreten waren, als sich der DevOps-Prozess des Unternehmens gerade in der Feinabstimmung befand. Fehler in der Produktion hatten seinerzeit erhebliche Schwierigkeiten verursacht und die Kundenzufriedenheit beeinträchtigt. Die Lösung war es, QS-Maßnahmen in den Entwicklungsprozess zu integrieren. Diese beinhalteten automatisierte Tests zum Commit- oder Build-Zeitpunkt sowie einen gut dokumentierten Prozess für manuelle Tests vor der Auslieferung.

 

Warum sollte sich dies nicht auch auf DevOps-Security übertragen lassen?

 

„Ich benötige die Unterstützung des gesamten Teams, um aus DevOps DevSecOps zu machen“, dachte Jim. Es wurde ein Meeting einberufen, an dem Bill von der IT-Sicherheit, Joanne aus dem Vertrieb und DevOps-Leiter Igor teilnehmen sollten.

Verstehe deinen Feind – Die Kunst von DevOps-Security

Wenn du dich und den Feind kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten. Wenn du dich selbst kennst, doch nicht den Feind, wirst du für jeden Sieg, den du erringst, eine Niederlage erleiden. Wenn du weder den Feind noch dich selbst kennst, wirst du in jeder Schlacht unterliegen.“ ― Sun Tzu, Die Kunst des Krieges

Bill, der sich in seiner Freizeit mit Militärgeschichte und Amateurtheater beschäftigte, hatte ein Faible für Dramatik. Als ihm klar wurde, dass es in dem Meeting um DevSecOps gehen wird und er etwas beitragen sollte, bereitete er eine Folie mit diesem Zitat vor. „Jeder liebt gute Zitate“, dachte er. Das würde die anderen sicher beeindrucken.


„Fangen wir ganz von vorne an“, sagte Bill. „Zuerst müssen wir ein Verständnis für mögliche Bedrohungen entwickeln. Was sind die größten Sicherheitsrisiken und wie entstehen sie? Zunächst sollten alle Interessensgruppen die Wichtigkeit ihrer Daten beurteilen. Zudem sollte bewertet werden, welche Auswirkungen es für das Unternehmen hat, wenn diese Daten aufgrund von Sicherheitslücken kompromittiert werden. An dieser Stelle sollte Threat Modeling der richtige Ansatz für uns sein.“


„Wenn du möchtest, dass ich mich darum kümmere, dann integriere das bitte ins Backlog“, antwortete Igor, das „DevOps -Arbeitstier“.

 

“Ist das ein Feature?”, warf Joanne ein.

 

„Nein, das ist eher eine Art Anti-Feature,” entgegnete Bill, der sich aufgrund seiner eleganten Antwort erneut über seinen Sinn für Dramatik freute.

 

„Ich schlage vor, Methoden aus der agilen Software-Entwicklung zu nutzen. Damit können wir alle negativen User-Storys nochmals überprüfen, um sicherzustellen, dass wir sie an dieser Stelle vermeiden.

Wie wird eine DevSecOps-Planung erstellt?

Eine gute Roadmap ist die Basis jeder sicheren Infrastruktur. DevSecOps bildet hierbei keine Ausnahme. Da sich das Team nun auf den Entwicklungsprozess konzentrierte, wurden Infrastruktur-Themen wie Firewalls trotz Ihrer Bedeutsamkeit in der Diskussion nicht berücksichtigt.

 

Bill, den seine besondere Rolle in Jims Sicherheitsbemühungen mehr als motivierte, war jedoch sofort im Thema. Er schlug vor, eine Architektur für DAST-Technologien (Dynamic Application Security Testing) zu entwickeln. Auf diese Weise würde es möglich sein, Sicherheitslücken einer App im Betrieb zu erkennen. Der Ansatz würde es nicht nur ermöglichen, Schwachstellen im Quellcode zu finden, sondern auch diejenigen, die erst während der Nutzung auftraten.

DevSecOps-Checkliste für die Infrastruktur

Nachdem die Strategie des Teams feststand, war es an der Zeit, dass Jim gemeinsam mit den anderen eine Security-Checkliste für die DevOps-Infrastruktur zusammenstellte. Entsprechend wurden folgende Punkte zusammengetragen:

 

1.Passwörter verschlüsseln (Passwörter sollten in Datenbanken grundsätzlich in einem verschlüsselten Format gespeichert werden, um Diebstahl zu verhindern).

 

2.SSL-Verbindungen für die Kommunikation nutzen

 

3.Konfiguration und Setup der Server automatisieren

 

4.Regelmäßige Back-ups durchführen

 

5.Zugriffskontrolle für Cloud-Dienste einrichten

 

6.SSH sicherer konfigurieren

 

Zahlreiche Teams mögen für diese Art von Checkliste nur ein müdes Lächeln übrig haben, da die Punkte offensichtlich und einfach erscheinen. Dies trifft zwar zu, dennoch werden einige dieser naheliegenden Schritte oftmals übersehen. Es gibt gute Gründe dafür, dass sich Reinigungschecklisten in den Toiletten von Raststätten oder Restaurants befinden, die von den Mitarbeitern nach Durchführung der Arbeiten unterschrieben werden müssen. Es geht weniger darum, dass die Reinigungskräfte stündlich den Sauberkeitszustand überprüfen. Vielmehr zeigt die Erfahrung, dass einfache Checklisten das Verantwortungsbewusstsein stärken und funktionieren: Die Toiletten befinden sich stets in gutem Zustand. Diese Methode ist zwar einfach, aber effektiv. Exakt nach diesen Maßstäben sollte auch die DevSecOps-Checkliste des Teams aufgebaut werden.

 

Natürlich würde ein gewisser Entwicklungsaufwand entstehen, um der neuen Checkliste zu entsprechen. Igor hatte hierfür jedoch einige einfache OWASP-Frameworks und -Templates in petto.

 

Jim hatte noch ein weiteres Anliegen:

 

„Wir müssen die Widerstandsfähigkeit unserer Anwendungen gegen Angreifer verbessern. Wenn es einem Angreifer gelingt, unsere Außenverteidigung zu durchbrechen, müssen wir zumindest sicherstellen, dass er seinen Weg nicht fortsetzen kann! Unsere Webanwendungen müssen prüfen, ob Anfragen gültig und authentifiziert sind. Weitere Checks brauchen wir außerdem für Datenfehler - beispielsweise einen Remote Procedure Call, SIP (Session Initiation Protocol) und so weiter.“

 

Nun füllte sich das Whiteboard im Besprechungsraum mit zunehmender Geschwindigkeit. Bill war glücklich darüber, dass er sein Zitat aus „Die Kunst des Krieges“ über den Beamer präsentiert hatte. Sicherlich hätte es vom Whiteboard weichen müssen, um Platz zu schaffen. Zudem brauchte das Team Inspiration. „Ich kannte meinen Feind“, dachte Bill, den seine Weitsicht nun mit Stolz erfüllte.

Nicht vergessen: Sicherheitsbedrohungen vor dem DevSecOps-Prozess

Die Puzzlestücke passten wunderbar ineinander und eine selten anzutreffende Einigkeit erfüllte den Raum, als sich das Team mit einer gewissen Selbstzufriedenheit zurücklehnte. Sie hatten gute Arbeit geleistet. Die kurze Atempause wurde jedoch unterbrochen, als Igor ein Problem ansprach, das bisher übersehen wurde: Es bestand die Notwendigkeit, einige Altsysteme zu integrieren.

 

„Niemand kennt den Code, also kann niemand die potenziellen Bedrohungen beurteilen!“

 

Diesmal war es Joanne, die eine elegante Lösung präsentierte:

 

„Warum verschieben wir die Legacy-Systeme nicht in Container mit eingeschränkten Zugriffsrechten? Damit schützen wir die anderen Anwendungen, falls kritische Schwachstellen vorhanden sind.“

 

Alle stimmten zu, dass dies die Risiken minimieren würde.

 

„Das nennt man Runtime Application Self-Protection (RASP)“, sagte Joanne mit gewissem Stolz. Erst kürzlich hatte sie eine Weiterbildung besucht. Im Gegensatz zu vielen Mitarbeitern des Unternehmens nahm sie Fortbildungen sehr ernst. Sie besaß eigens für diesen Zweck ein spezielles Federmäppchen und einen Notizblock. Im Anschluss digitalisierte sie ihre Notizen. Joanne ist schlau. Sei wie Joanne!

 

„RASP ist eine Sicherheitstechnologie, die Angriffe blockiert. Im Gegensatz zu Firewalls, die Bedrohungen nur anhand von Netzwerkinformationen erkennen können, ist RASP effizienter. RASP überwacht Eingaben und blockiert diejenigen, die von Angreifern stammen könnten. Dadurch lässt sich die Sicherheit deutlich verbessern.“

Sicherer Code als integraler Bestandteil von DevSecOps

Code war das nächste Thema auf der Agenda. Nun stand Igor im Mittelpunkt. Er war kein Naturtalent auf der Bühne. Eigentlich war er grundsätzlich kein Naturtalent - außer im Programmieren und in ungepflegtem Aussehen. Es galt jedoch nicht, seinen Kleidungsstil und seine Körperpflege zu rechtfertigen, sondern seine Programmierkenntnisse zu verteidigen.

 

„Natürlich schreibe ich sicheren Code“, geriet Igor in Rage.

 

Als es jedoch darum ging, die Sicherheit objektiv nachzuweisen, musste er zugeben, dass er Zweifel hatte. Selbstverständlich kümmerte er sich um die Passwortstärke und nutzte verschlüsselte Backend-Verbindungen, aber Hacker sind heute wahre Genies. Er wusste, dass einige seiner damaligen Studienkollegen zur dunklen Seite übergelaufen waren. Und wie sah es mit den Nachwuchskräften in seinem Team aus? Nicht jeder war bereits ein Coding-Jedi wie er. Einige von ihnen waren nicht einmal in der Lage, ihr Star-Wars-Shirt richtig herum anzuziehen. Sie verließen sich darauf, dass er die Anhänger des Sith-Ordens abwehren würde.

 

Nachdem er eine Weile seine Stirn gerunzelt hatte, schlug Igor eine einfache Lösung vor.

 

„Diese Komponente unseres DevSecOps könnte eine Software für Sicherheits-Automatisierung übernehmen, die alle relevanten Checks sofort durchführt. Es existieren Tools, die den Code mittels Static-Code-Analysis-Testing (SAST) schon beim Schreiben überprüfen.“

 

Durch die Integration der statischen Code-Analyse während der Entwicklung und der Commit-Zeit in die IDE (Integrierte Entwicklungsumgebung) erhalten Entwickler eine sofortige Rückmeldung zum Sicherheitsniveau ihrer Anwendung. Hierdurch würde sich ihr Wissen im Bezug auf sicheres Coding drastisch verbessern. Außerdem ließen sich klassische Schwachstellen wie SQL-Einschleusung oder Cross-Site-Scripting identifizieren.

 

„Ich werde die Jungspunde lehren, die Macht zu beherrschen“ kündigte Igor an, und erntete fragende Blicke aus der Runde.

DevSecOps auch beim Einsatz von Drittanbieter-Code relevant

Die nächste Sicherheitsbedrohung, die angegangen werden musste, war die eingesetzte Drittanbieter-Software - ein potenzielles trojanisches Pferd für Angreifer.

 

„Was ist mit Software, die wir nicht selbst geschrieben haben?“, fragte Jim. „Wir setzen viele Drittanbieterlösungen ein, um unsere Entwicklung zu beschleunigen und Kosten zu reduzieren. Unglücklicherweise sind gerade diese Systeme oftmals Einfallstore, durch die Angreifer unsere starken DevOps-Sicherheitssysteme umgehen können.“

 

Schnell wurde klar, dass statische Code-Analysen auch zur Überprüfung von externem Code eingesetzt werden müssen.

 

„Wie sieht es mit Open Source Software aus?“, fuhr Jim fort. „Das würde die Entwicklungskosten deutlich senken.“

 

„Code dieser Art stellt oftmals ein potenzielles Sicherheitsrisiko dar“, stimmte Igor zu. „Indem man den Code auf bekannte Schwachstellen überprüft (z. B. mit OWASP Dependency-Check), können solche Mängel allerdings erkannt und unverzüglich behoben werden.“

 

OWASP Dependency-Check durchsucht den Code und die entsprechenden 3rd-Party-Komponenten, um OWASP-Sicherheitslücken zu identifizieren. Open Source Code wird anhand einer ständig aktualisierten Datenbank mit bekannten Schwachstellen in Open Source Software abgeglichen.

DevSecOps-Tests

„Großes Lob an das Team“, sagte Jim stolz. „Wir haben potenzielle Risiken erkannt und eine Architektur geschaffen, die diese reduziert. Wir prüfen außerdem sowohl neuen als auch alten Code auf bekannte Schwachstellen. Haben wir noch etwas vergessen?“

 

Das Team hatte hinsichtlich eines leistungsfähigen DevSecOps-Systems an alles gedacht, außer an die zusätzliche Überprüfung externer Sicherheitslücken. Igor sprach diesen Punkt jedoch sofort an und verlieh der Agenda somit den letzten Schliff.

 

Zusätzlich zum White-Box-Testing in der Entwicklungsphase sowie zu automatisierten Sicherheits- und Schwachstellen-Checks entschied sich Jim für Tests, welche die Vorgehensweise von Hackern simulieren. Diese Tests werden in den Deployment-Prozess integriert, sodass ihre Durchführung nicht vergessen oder unter Zeitdruck übersprungen werden kann. Reports liefern abschließend den Nachweis für das Management.

Wird der Betrieb aufgenommen, ist DevSecOps nicht vorüber

Das Team war nun fast am Ziel. Jim hatte jedoch noch einen Tagesordnungspunkt, der abgearbeitet werden musste.

 

„Zu guter Letzt müssen wir sicherstellen, dass DevSecOps über den gesamten Software-Lebenszyklus aufrechterhalten wird. Bei der Durchführung der Tests, auf die wir uns verständigt haben, darf die Produktion keine Ausnahme sein. Die Tests müssen weitergehen und sorgfältig überwacht werden. Jeder noch so unbedeutende Vorfall muss den Architekturspezialisten und dem Entwicklungsteam gemeldet werden, sodass das Sicherheitslevel der Anwendung verbessert werden kann.“

 

Jim kehrte in sein Büro zurück. Ihr neuer Ansatz war sicherlich der beste Weg für das Deployment in die Produktion. Er hatte nun ein striktes Regelwerk und unter seiner Regie würde es keine Schwachstellen mehr geben, die das Unternehmen verwundbar machen könnten.

 

„Jetzt haben wir endlich einen manipulationssicheren Ansatz für unseren Deployment-Prozess, der Best Practices aus dem Bereich DevSecOps folgt“, freute er sich. Wenn trotz aller Maßnahmen etwas passieren sollte, lässt sich sofort feststellen, woher das Problem kommt und wie wir es lösen können. Unsere DSGVO-Beauftragte Helen wird ebenfalls erfreut sein. Immerhin entsprechen wir mit unseren Maßnahmen nun dem neuen EU-Recht. Und ich kann mich zurücklehnen, da sämtliche Aktivitäten nun in Form eines klaren Prozesses definiert sind. Liebe Hacker, jetzt könnt ihr kommen!“

 

Er übte vor dem Spiegel noch schnell einen erschrockenen Gesichtsausdruck - für die theoretisch vorhandenen Massen an Hackern. Dann machte er sich einen Kaffee und kehrte zum Tagesgeschäft zurück.

SHARE WITH FRIENDS
You might find this interesting
E-book
Hiring Web Developers — The Complete Guide
E-book
Top Tools for Cost-Effective Web Development — eBook
Our cases
Reformation of Deployment Cycle for Bosch Classic Cars Portal
Our cases
Fast and Lightweight Mobile Application based on PhoneGap/ Cordova
E-book
Determining Approaches to Mobile App Development
Our cases
VAIX - Fault tolerant infrastructure for 24/7 high-load machine learning service
Testing
Qualität + Transparenz durch Agile Test Coaches
Other
ANGULAR, VUE, JQUERY, REACT ODER EMBER?
Web,Amazon Web Services
Vorteile durch Serverless Development für Startups: niedrigere Kosten, kürzere Time-to-Market
DevOps
Ist serverlose Architektur die Zukunft der Webentwicklung?
DevOps
Kubernetes Beratung – Übernehmen Sie die Kontrolle über Ihre K8s!
DevOps
Your DevOps Transformation Consulting Partner
Web,Outsourcing,Other
How a Company Can Benefit from White Label: K&C experience
Web
4 Time-Saving Ways to Test Your Cross Platform Mobile App
Testing
What Is Quality Assurance and Why You Need It Immediately
E-book
Digital Transformation: the Philosopher’s Stone of Economic Growth
Our cases
Drivelog.de — Web Marketplace for Car Owners and Service Providers
Our cases
Portal Performance Tuning For Major German Travel Agency
Our cases
Micro-service Architecture for New AngularJS Application - Case Study
Testing
Fallstudie Testautomatisierung: Cucumber, Selenium und Jira Xray
Web,Amazon Web Services
React Developers Munich
Web
Microservices… when do we need them?
Web,Outsourcing,Other
JavaScript & WebSockets: How to Build Real-Time Applications
Mobile
Native or Hybrid Apps: A Quick Comparison
DevOps
How to start services on Linux
DevOps
How We Use Ansіble for Configuration of Our Environments
Other
Don’t Treat Me Like a Fool: The worst thing you can do for your business
Web,Outsourcing
Angular 6 Will Be A Hit
Web,Outsourcing
How to Control Agile Development: Progress and Costs
Web,Other
Dedicated Teams for Web Development: Choice Criteria to be Checked
Web
Technologies that Foster Digital Transformation
Other
GDPR: Smart Practices
Web
Debunking imaginary shortcomings of cross-platform frameworks
Web
When Microservices Help Make Future-Ready Products
Web
Cost efficient technologies
Web
K&C insights: how to make your workflow work for you
Other
Big Data: Why Your Business Needs it ASAP
Other
Europe’s Big Payments Directive PSD2
Web
How to Motivate Your Dedicated Team to Work with Legacy Projects
Our cases
Reference: Major producer of auto electronics and spare parts
Web,Mobile,Outsourcing,Other
All You Wanted to Know About Chatbot Platforms
Web,Outsourcing,Other
Angular 5.0.0 – A Better Version of Itself
Our cases
CLOUD-LÖSUNG VS. BARE METAL SERVER: WANN MACHT WELCHER ANSATZ SINN?
DevOps,Amazon Web Services
Kubernetes at the Forefront of Secure Microservices Future
DevOps
Hybrid, SAAS+PAAS: cloud solution trends to watch in 2019
Web,Our cases
White Label: A Customized Software Solution from a Business and Tech Perspective
Web
A secret formula of an agile dream team
Web
Serverless Application Developers: Our Tech Talent, Your Success
DevOps,Outsourcing
Rancher 2.0: A Quick Look at the New Version
DevOps
Use case: how to build and run Docker containers with NVIDIA GPUs
Web
Angular 2.0 vs Angular 1.4. What fits you best?
Web
Scaling software solutions - how it works
DevOps
DevOps with Puppet: Tips on Setting it up for Configuring Servers
DevOps
How We Manage Our Infrastructure with Chef
Web,DevOps,Our cases
Our case: Marketplace for gaming goods
Web,Other
JAMSTACK IS THE NEW FACE OF STATIC SITES
DevOps
Docker: Virtualize Your Development Environment Right
Web,Amazon Web Services
Cloud App Security: Three Authentication Approaches
Web,Mobile,Amazon Web Services
SERVERLOSE ARCHITEKTUR FÜR CLOUD-BASIERTE APPS: TECHNOLOGIE-ANBIETER UND GRENZEN
Outsourcing
Agile entwickeln mit festen Budgets | K&C Software München
Web,Other
How to Make Your Web Solution Rock: 7 Areas to Check
Web,Amazon Web Services
Vue.js 2019 - not Angular / React
Web
Agile and DevOps are Key Drivers of Digital Transformation
Web
Centralized Logging with Logstash, Elasticsearch & Kibana
Outsourcing
The BPM in the Microservice Environment
DevOps
Kubernetes-Cluster absichern mit Hashicorp Consul/Vault
Web,Amazon Web Services
Your Expert Angular Developers in Munich | K&C Development
DevOps
Cloud-Trends 2019 - Hybrid, SAAS und PAAS | K&C Beratung
Web
JQuery vs. Angular: Ad Astra per Aspera
Web,Outsourcing,Other
Angular vs. React vs. Vue – Let the Fight Start!
Web
Plan to Succeed: 4 Tips for Building Scalable Software
DevOps,Outsourcing
KUBERNETES ALS FÜHRENDE MICROSERVICE-ARCHITEKTUR IN PUNCTO SICHERHEIT
Other
Culture eats technology for breakfast
Web
Fintech Apps - A Lucrative Solution for Customers and Businesses Alike
Web
Pros and Cons of Serverless Web Development
Testing
Agile Test Coach - Ensuring Code Quality & Transparency
Web
Advanced Technologies for Marketing Automation
DevOps
How to setup Kubernetes cluster on AWS
Web
Web App Security 101: How to Defend Against a Brute Force Attack
Our cases
Liferay Portal Developers: Performance Tuning Case Study
Marketing
Аudience-based Marketing
DevOps,Outsourcing,Other
ROCKET.CHAT as an internal messaging system and helpdesk platform
Other,Marketing
How to Become a Leader in Your Market
Amazon Web Services
Hybrid Cloud Consulting Services in Munich
Web,Outsourcing
ANGULAR 6 versus REACT 16.3
Web
All You Need to Know About Web App Security Now
Outsourcing,Other
How to Ramp up Your Team Wisely
Web,Outsourcing
Migration from Angular 1 to Angular 5
Web,Mobile,Back-end,Amazon Web Services
Why Enterprises Choose Serverless Architecture
DevOps
Setting Up: Traefik Balancer In Rancher Cloud
Other
I’m Tired of Blockchain Hype, Are You?
DevOps
What to Choose: NFS or CEPH?
Outsourcing,Amazon Web Services
FUNKTIONEN VON AWS LAMBDA DEBUGGEN
DevOps
DEBUGGING AWS LAMBDA FUNCTIONS
DevOps
Kubernetes Consulting – Take Control of Your K8s!
Web,Amazon Web Services
Serverless vs. Hadoop & Containers In The Evolution Of Big Data & AI
Web,Amazon Web Services
Your Guide To AWS Cognito For Serverless User Authentication
Testing
Test Automation Case Study: Cucumber, Selenium and Jira Xray
Other
How to Convert Your Business to an Amazon-Style Market Leader
DevOps
Serverless Providers: A Comparative Analysis of AWS Lambda, Azure Functions & Google Cloud Functions
DevOps
Is Serverless Architecture the Future of Web Development?
Web,Amazon Web Services
What's New In React 16.3.0 - 16.4.2 | K&C React Dev
Web
Why Serverless Development For Start-Ups: Lower Costs, Faster to Market
Web
A Guidance for Keeping Your Web Development Project Within the Budget: Three Key Pillars
Web,Outsourcing
Angular 6 vs. Ember 3
DevOps
Monolith, Microservices, Serverless... Which Will You Choose and Why?
Our cases
Bosch Classic Cars - Digital Engagement Platform for 19K Vintage Car Owners
Web,Amazon Web Services
Single Page Application SEO: Tips & Tricks
DevOps
How to Build a Rancher & Docker Based Cloud
Outsourcing
SCALED AGILE FRAMEWORKS: HINTERGRÜNDE UND AUSFÜHRLICHER LEITFADEN
Web,Outsourcing,Other
Angular 5 VS React.js – Who’s Going to Set the Tone in the Upcoming Year?
DevOps
How To Launch Kubernetes Federation on Google Cloud Platform
Web,Outsourcing,Testing
QA for CxOs: How to Hire and Outsource
Web,Mobile,Back-end,Amazon Web Services
Serverless Architecture for Modern Apps: Stacks Providers & Caveats
DevOps
DevOps Consulting – Our Business Is Automating Yours
Web
Angular 4 vs React – what to choose in 2017
Our cases
The Platform Providing Event Organization
DevOps
Security in Kubernetes and How Your Company Can Benefit from It
Mobile
WHY THE IONIC FRAMEWORK IS THE BEST CHOICE FOR YOUR HYBRID APP
DevOps,Outsourcing
AWS DevOps: A New Way to Run Business
Web,Outsourcing,Testing
Sicherheit für Web-Anwendungen - dank Threat Modeling
Web,Outsourcing,Testing
Web App Security 101: Keep Calm and Do Threat Modeling
Web,Other
SSR or CSR for Progressive Web App
Outsourcing,Testing
Die Rolle des QS-Teams in Software-Projekten
Web,Mobile
Wann eignen sich Progressive Web Apps ?
Web,Mobile,Outsourcing
Progressive Web Apps and Why You May Need Them
Amazon Web Services
Auswahl Cloud-Provider ohne Vendor Lockin
Web,Amazon Web Services
CLOUD DEPLOYMENT: YOUR APPLICATION’S OPTIONS
DevOps
KUBERNETES-BERATUNG: SCHRITT FÜR SCHRITT ZUM HEPTIO ARK (VELERO) BACKUP
DevOps
Kubernetes backup with Heptio Ark (Velero)
DevOps
Installation and setting up: Nextcloud as a local network storage on CentOS7
Our cases
How to apply React Native while developing heavy cross-platform mobile apps
Other
The Power of the Holistic Business Analysis
Web,Outsourcing,Other
Golang vs. Node.js
DevOps
Serverless Architecture Consulting Services
Outsourcing
SCALED AGILE FRAMEWORKS: YOUR COMPLETE GUIDE TO WHICH, WHY AND HOW
Outsourcing,Testing
How the QA Team Tests Your Project
Other
Angular vs. Vue vs. jQuery vs. React vs. Ember
Web,Outsourcing
Node.js vs. Angular.js – Two Sides of the Same Coin
Web,Amazon Web Services
ANGULAR 7 OR REACT For Your App?
Web
Node.js 10.0.0: Everyone’s Favorite Got Even Better
Web,Outsourcing,Other
JS Frameworks: The Trendiest Frameworks You Should Know
DevOps
Guide for Hashicorp Consul/Vault with Kubernetes
DevOps,Outsourcing,Amazon Web Services
Information Security with AWS DevOps
Our cases,Amazon Web Services
CLOUD SOLUTION VS. BARE METAL SERVER: WHEN AND WHY
Other
Swimming with Sharks
Web,Other
GoLang: Features, Pros and Cons
DevOps
DevOps As DevSecOps – Full Integration of Threat Protection Without Compromising Deadlines or Budgets