
Illustration Absmeier foto freepik
Unabhängig davon, welches Geschäftsmodell einem Unternehmen zugrunde liegt, heutzutage ist es zwangsläufig ein Softwareunternehmen – auch dann, wenn es selbst keine Softwarelösungen anbietet. Das Building Security in Maturity Model (BSIMM) ist dabei mehr als ein Tool, es ist auch eine Gemeinschaft von Unternehmen, die auf dasselbe Ziel hinarbeiten [1].
BSIMM, der jährlich erscheinende Bericht von Black Duck, ist gerade in seiner 15. Auflage erschienen. Die Ergebnisse basieren auf dem geteilten Wissen der Community, die sich an Softwaresicherheitsinitiativen (SSIs) beteiligt. Auf dieser Grundlage entsteht ein Leitfaden dazu, wie man möglichst sichere Software entwickelt und dazu, was funktioniert und was nicht. Software steuert so gut wie unser gesamtes modernes Leben, von kritischen Infrastrukturen wie Energieversorgern, Finanzdienstleistern, dem Gesundheitswesen, Transport und Logistik bis hin zu persönlichen Dienstleistungen wie Fahrzeugen, Smart Homes, Unterhaltung und Kommunikation. Neben allen Vorteilen, sind damit unleugbar Risiken verbunden. Cyberkriminelle müssen nur noch bestehende Softwareschwachstellen ausnutzen, um potenziell schwere Schäden anzurichten.
Vorteile nutzen – Nachteile vermeiden
Es gilt, einen Weg zu finden, die Vorteile unternehmerisch nutzen zu können, ohne die Nachteile in Kauf nehmen zu müssen. Wie man das am besten macht, das zeigt der rein deskriptive BSIMM-Bericht. Er dokumentiert, was andere Firmen tun und wie. In diesem Jahr haben 121 Unternehmen aus acht verschiedenen Branchen teilgenommen. Das Ergebnis ist eine Art Roadmap. Sie gestattet es Firmen einen Weg zu wählen, der am besten zu den spezifischen Merkmalen, Bedürfnissen und nicht zuletzt ihrem Budget passt. Jedes Jahr nutzen Unternehmen aus unterschiedlichen Branchen BSIMM, um eine Score Card für ihre Softwaresicherheitsprogramme zu erstellen und um anhand derer ihre SSIs (Softwaresicherheitsinitiativen) zu optimieren.
Die anonymisierte Datenerhebung erlaubt es, Änderungen eines Sicherheitsprogramms in Bezug auf Mitarbeiter, Prozesse, Technologien, Firmenkultur, Compliance, digitale Transformation und weitere Bereiche detailliert darzustellen und ein gemeinsames Vokabular zu definieren, das jeder verwenden kann.
Detaillierte Beschreibung
Zu Beginn werden wichtige Trends aufgezeigt, die entweder gänzlich neu sind, sowie solche, die zu- oder abnehmen und die ihnen zugrunde liegenden Treiber. Das sind etwa bestimmte Bedrohungen oder technologische Fortschritte. Die dargestellten Initiativen reichen von der Automatisierung über künstliche Intelligenz (KI) bis hin zu Sicherheits-Tools für die Lieferkette wie Softwarestücklisten (SBOMs). Die Struktur, das sogenannte »Skelett« des Berichts, enthält 128 Sicherheitsaktivitäten, die in 12 Praktiken unterteilt sind, die sich wiederum in vier Bereiche gruppieren. Die acht von BSIMM15 abgedeckten Branchen sind Cloud, Finanzdienstleistungen, Fintech, Gesundheitswesen, unabhängige Softwareanbieter, Versicherungen, das Internet der Dinge (IoT) und Technologie. Insgesamt stützt sich der Bericht auf Daten von etwa 11.100 Sicherheitsexperten, die rund 270.000 Entwickler dabei unterstützen, Sicherheit in zirka 96.000 Anwendungen zu integrieren.
Dabei ist Softwaresicherheit nie statisch – sie verändert sich ständig als Reaktion auf die technologische Entwicklungen und die Bedrohungslandschaft. Im vergangenen Jahr war, wie erwartet, einer der wichtigsten Trends die massive Ausweitung von KI-basierenden Anwendungen. Und das sowohl bei denen, die versuchen sichere Software zu entwickeln als auch bei denen, die KI für cyberkriminelle Zwecke nutzen. Neue Large Language Models (LLMs) sind in der Lage viele Sicherheitsmaßnahmen zu übernehmen, die bisher menschlicher Intervention vorbehalten waren. Das gilt umgekehrt aber auch für Hacking-Tools. Da sind LLMs eine Klasse für sich, was das Finden und Ausnutzen von Schwachstellen anbelangt. Angesichts dieser Entwicklung sollten Developer, Security-Verantwortliche, Betrieb, IT und Kommunikation enger zusammenarbeiten, wenn sie dem etwas entgegensetzen wollen.
Die wichtigsten Trends von BSIMM15 auf einen Blick:
Compliance
Die US-Bundesregierung erlässt zwar in der Regel keine pauschalen Sicherheitsmandate für Softwarehersteller, die Anforderungen sind aber inzwischen sehr viel deutlicher und spezifischer geworden, wenn Firmen Produkte an Regierungsbehörden verkaufen wollen. Eines dieser Mandate ist die Selbstbescheinigung, d. h. Anbieter müssen schriftlich versichern, dass ein Produkt den vorgeschriebenen Sicherheitsstandards entspricht [2]. Die Bescheinigung ist Bestandteil eines Dokuments der Biden-Regierung zur Cybersicherheitsstrategie [3].
Wer seine Softwarelösungen an die Regierung verkaufen will, der muss sie mit einer Softwarestückliste (SBOM) versehen – einer vollständigen Auflistung der Komponenten eines Produkts, der jeweiligen Hersteller, jeder einzelnen Komponente, der betreffenden Version und aller anderen eindeutigen Kennungen. Ein Beitrag zu mehr Sicherheit für die Lieferketten. Ähnliche Bestrebungen und Vorgaben enthalten auch zahlreiche europäische Gesetze und Vorgaben.
Es ist also nicht allzu überraschend, dass BSIMM15 einen deutlichen Anstieg bei den Praktiken verzeichnet, die diese Anforderungen unterstützen.
Innovation – aber sicher
Technologien entwickeln sich derart rasant, dass neue Vorgehensweisen Einzug halten, bevor sich die Branche überhaupt auf bewährte Verfahren einigen kann. Unternehmen mit ausgereiften SSIs haben deshalb selbst daran gearbeitet, neue Angriffsmethoden und Adversarial Tests (auch als »Tests gegen das Konzept« bekannt) zu entwickeln und so potenzielle Angriffstechniken nachzuahmen.
»Shift Everywhere« entwickelt sich kontinuierlich weiter
Dies ist im Grunde ein Trend von »gut« hin zu »besser«. Vor mehr als einem Jahrzehnt lautete die Empfehlung »Shift Left«, was so viel heißt, wie den Code so früh wie möglich innerhalb der Softwareentwicklung zu testen, anstatt damit bis zum Ende zu warten. Dann nämlich kostet es deutlich mehr Zeit und Geld, Fehler zu beheben. Das war zwar eine Verbesserung, aber auch unzureichend und irreführend. Die Autoren des BSIMM-Berichts stellten vor einigen Jahren fest, dass »Shift Left« nie nur eine Verschiebung nach links bedeuten sollte, sondern dass Sicherheitskontrollen überall im Entwicklungszyklus durchgeführt werden sollten. Und zwar, sobald die Artefakte, von denen diese Aktivität abhängt, verfügbar sind. Die gute Nachricht: immer mehr Unternehmen haben die Botschaft verstanden und beherzigen sie auch.
Automatisieren, automatisieren
Auch hier hat sich der Trend von gut zu besser verschoben. Automatisierte Software-Testtools gibt es schon seit langem. Aber jetzt ist es möglich, Automatisierung zu nutzen, um den gesamten Entwicklungslebenszyklus zu steuern. Die Aktivität im Original als »Integrate software-defined lifecycle Governance« beschrieben ist zwar mit nur 9,1 % vom Mainstream noch weit entfernt, aber dennoch eine Steigerung von 48 % gegenüber dem Vorjahr.
Qualitätskontrolle
Die meisten Softwareprodukte werden heute in erster Linie aus existierenden Komponenten zusammengebaut und nicht von Grund auf neu entwickelt. Der Ende Februar diesen Jahres veröffentlichte »2024 Open Source Security and Risk Analysis«-Bericht kommt zu dem Schluss, dass so gut wie alle Softwareprodukte Komponenten von Drittanbietern oder Open Source Software enthalten und diese durchschnittlich 70 % aller Codebasen ausmachen [4]. Angesichts der wachsenden Risiken von unsicherer Software, fordern immer mehr Unternehmen von ihren Anbietern, hier Abhilfe zu schaffen. Ein Beispiel ist die Tatsache, dass die Forderung nach Softwaresicherheit inzwischen explizit Eingang in viele Service-Level-Agreements gefunden hat. In den letzten vier Jahren ist der Anteil der Firmen, die Anbieter solcherart in die Pflicht nehmen von 36,9 % auf 49,6 % gestiegen.
Awareness? Das war doch was…
Einer der eher bedenklichen Trends, die im Rahmen des BSIMM-Berichts beobachtet wurden, ist der Rückgang von Security-Awareness-Schulungen in Sachen Softwaresicherheit. Im Rahmen des ersten BSIMM-Berichts gaben die damals neun teilnehmenden Firmen zu 100 Prozent an, Security Awareness Trainings durchzuführen. In den darauffolgenden 14 Jahren ist dieser Anteil auf kaum mehr als 50 % gesunken.
Ein Grund mag in den ohnehin knappen Budgets liegen, ein anderer in der knappen Zeit oder in der irrigen Annahme, einmal durchgeführte Schulungen müsse man nicht zwangsläufig wiederholen oder anpassen. Eine nicht ganz ungefährliche Einschätzung – auch und gerade in Zeiten einer hohen Mitarbeiterfluktuation.
Fazit
Dem Thema Sicherheit angesichts neuer Technologien Priorität einzuräumen, insbesondere in sich rasant entwickelnden Bereichen wie der KI, war noch nie so wichtig und herausfordernd wie gerade jetzt. BSIMM15 bietet Einblick darin, wie unterschiedliche Unternehmen und Branchen diese Hürden nehmen. Damit dient der Report als Leitfaden für eine sichere Softwareentwicklung. Solche Fortschritte lassen sich nicht über Nacht erzielen. Eine der Kernbotschaften von BSIMM ist seit jeher, dass Sicherheit eine Reise und kein singuläres Ereignis ist. Das Ziel aber sollte klar sein. BSIMM gibt Unternehmen eine Richtschnur an die Hand, wie sie dieses Ziel schneller und im Einklang mit den spezifischen Firmen- und Branchenanforderungen erreichen können.
Boris Cipot, Senior Security Engineer, Black Duck
[1] https://www.blackduck.com/resources/analyst-reports/bsimm.html?cmp=pr-sig&utm_medium=referral
[2] https://armerding.medium.com/want-to-sell-software-to-the-feds-youll-have-to-build-it-better-and-swear-in-writing-that-you-did-962d03545ec9
[3] https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf
[4] https://www.blackduck.com/resources/analyst-reports/open-source-security-risk-analysis.html#introMenu
477 Artikel zu „DevSecOps“
News | Trends 2025 | Business | Künstliche Intelligenz
Trends 2025: GenAI & Anwendungsmodernisierung, ROI-Messung von KI und DevSecOps

Experten von GitLab prognostizieren maßgeschneiderte KI-Modelle on-premises, KI-Modelle von Open-Source-Projekten, ein Überdenken des Risikomanagements bei der Nutzung von KI, die wirtschaftliche Modernisierung von Anwendungen im großen Stil, die Verabschiedung isolierter KI-Anwendungen, die Erhöhung der Sicherheit bei DevOps und KI-Agenten als Katalysatoren für die Transformation der Software-Lieferkette. Ashley Kramer Chief Sales & Marketing Officer und…
News | Trends 2024 | Trends Security | IT-Security | Künstliche Intelligenz
DevSecOps-Teams zweifeln an der Sicherheit von KI-generiertem Code

Die Umfrage analysiert das »Tauziehen«, das KI-gestützte Codierungstools im Software-Entwicklungsprozess hervorrufen. Der Bericht »Global State of DevSecOps 2024« von Black Duck Software, Inc. (»Black Duck«) analysiert Trends, Herausforderungen und Chancen, die sich auf die Software-Sicherheit auswirken. Die Daten belegen, dass der umfassende Einsatz von KI die Art und Weise, wie Software entwickelt wird, grundlegend…
News | Cloud Computing | IT-Security | Künstliche Intelligenz
Security First: DevSecOps durch KI und Cloud vorantreiben

Cloud Computing ist wie das Thema künstliche Intelligenz allgegenwärtig. Auch im Kontext der DevSecOps-Methodik spielen beide Technologien eine gewichtige Rolle. Wie können sie Teams unterstützen und worauf müssen Entwickler und Administratoren achten. DevSecOps-Teams sind mit den richtigen Methoden und dem richtigen Mindset in der Lage, einen »Security-First-Ansatz« zu verfolgen, bei dem die Frage nach…
News | Cloud Computing | IT-Security | Ausgabe 1-2-2024 | Security Spezial 1-2-2024
Cyber Security – Die Herausforderungen in 2024: DevSecOps erfordert eine Veränderung der Unternehmenskultur
News | Effizienz | Favoriten der Redaktion | Lösungen | Strategien
Vier Best Practices sichern den DevSecOps-Erfolg

Das DevOps-Prinzip hat sich für IT-Projekte als enorm wertvoll erwiesen: Entwickler und Administratoren brechen Wissenssilos auf und schaffen es mit den entsprechenden Methoden, die Zusammenarbeit zu verbessern. Wie DevOps-Teams nun auch den Sicherheitsaspekt integrieren und DevSecOps erfolgreich in die Praxis umsetzen, zeigt der IT-Dienstleister Consol anhand von vier goldenen Regeln. Das Kunstwort DevOps setzt…
News | Business Process Management | Favoriten der Redaktion | IT-Security
Der Weg zu DevSecOps: Weiterhin steinig, aber es gibt Fortschritte

Illustration Absmeier Genki Bing DevSecOps ist eine derjenigen Abkürzungen, die man in der hektischen Welt der Softwareentwicklung durchaus unterschiedlich interpretieren kann. So kann man beispielsweise eine Definition wählen, nach der man das Thema Sicherheit als willkommene Ergänzung der Bereiche Entwicklung (Dev) und Betrieb (Ops) betrachtet. Oder Sicherheit gilt eher als der unerwünschte Eindringling, der…
News | Künstliche Intelligenz | Trends 2023
DevSecOps-Bericht zu KI: Cybersicherheits- und Datenschutz-Bedenken erschweren die KI-Einführung

Studie: Unternehmen sind in Bezug auf KI optimistisch, aber bei deren Einführung muss auf Datenschutz und Sicherheit, Produktivität und Weiterbildung geachtet werden. 83 % der Befragten halten die Implementierung von KI in ihre Softwareentwicklungsprozesse für unerlässlich, um nicht ins Hintertreffen zu geraten. 79 % der Befragten haben jedoch Bedenken, dass KI-Tools Zugang zu privaten Informationen…
News | IT-Security
Offenlegung von Zugangsdaten in der DevSecOps-Pipeline: Wo Angreifer (zu) oft sensible Daten finden

Entwickler nutzen fest kodierte Zugangsdaten, um nahtlos auf die Dienste zuzugreifen, die für die Erstellung und Bereitstellung von Anwendungen erforderlich sind, oder sich zu authentifizieren. Diese Praxis rationalisiert zwar die Entwicklung, birgt aber auch Risiken. Wenn Zugangsdaten – wie Kennwörter, API-Schlüssel und Zugriffstoken – im Quellcode öffentlich zugänglich sind, können Angreifer sie nutzen, um…
News | IT-Security | Strategien | Ausgabe 3-4-2023 | Security Spezial 3-4-2023
DevSecOps – Die Kluft zwischen Entwicklung und Sicherheit überwinden

Kontinuierlich, einmal täglich oder alle paar Tage: So häufig geben 70 Prozent der für die DevSecOps-Studie 2022 von GitLab befragten Entwickler-Teams Software-Code frei. Ein Anstieg von 11 Prozent gegenüber dem Vorjahr. Die Umfrage ergab auch, dass die Befragten am meisten in Sicherheit investieren. Das sind die guten Nachrichten.
News | Trends Security | IT-Security | Trends 2023
Konvergenz von Observability, DevSecOps und Sicherheit wird immer wichtiger

80 Prozent der CIOs in Deutschland beabsichtigen DevSecOps-Kultur auf mehr Teams auszuweiten: Schlüssel zur schnelleren und sichereren Softwareentwicklung sowie digitaler Transformation. Es wird immer schwieriger, die Zuverlässigkeit und Sicherheit von Software aufrechtzuerhalten. Das ergab eine weltweite Umfrage von Dynatrace unter 1.300 CIOs und leitenden DevOps-Managern [1]. Demnach erhöht die Forderung nach kontinuierlichen Release-Zyklen und…
News | Trends Security | IT-Security | Trends 2022
Bei DevOps und DevSecOps holpert es in Deutschland noch

Viele Unternehmen in Deutschland hinken ihren Zielen bei der Implementierung von DevOps und DevSecOps hinterher. Eine Hauptursache dafür sind kulturelle Barrieren. Das zeigt eine aktuelle Umfrage von Progress. Die Umfrage »2022 DevSecOps: Simplifying Complexity in a Changing World« untersucht den Status quo der DevOps- und DevSecOps-Adaption. Im Auftrag von Progress befragte das Technologieforschungsunternehmen Insight…
News | IT-Security | Strategien
Was ist DevSecOps?

Wenn man DevSecOps erklären will, beginnt man am besten mit der Definition von DevOps. DevOps kombiniert Praktiken aus der Softwareentwicklung und dem IT-Betrieb. Um es an einem einfachen Beispiel zu illustrieren: Developer brauchen Umgebungen, in denen sie Software entwickeln können. Dazu zählen solche, in denen sie Code programmieren und zu den Repositories hinzufügen, CI/CD-Plattformen, die…
News | IT-Security | Ausgabe 7-8-2022 | Security Spezial 7-8-2022
Sicherheit in der Software Supply Chain – DevOps braucht DevSecOps

Im Gespräch erklärt Frank Fischer, Product Marketing bei Snyk, warum Open Source in Software-Projekten gleichzeitig Fluch und Segen sein kann, warum Sicherheit integraler Bestandteil jedes Prozessschrittes in DevOps werden muss und das Security im Wesentlichen aus den drei Aspekten Technologie, Prozesse und Menschen besteht und die alle gleich bedacht und gestärkt werden müssen.
News | Effizienz | Strategien
DevSecOps: Fünf Aspekte für den optimalen ROI

Entwicklungsteams von Morgen denken nicht nur an Code, Sicherheit und den alltäglichen Arbeitsbetrieb, sondern auch an die Rentabilität – den ROI. In einer zunehmend digitalisierten Welt ist es unerlässlich, dass die Verantwortlichen für den ständigen Wandel bei der Modernisierung ihrer IT-Strukturen Geschäftsziele mitdenken. Spätestens die Covid-19 Pandemie hat Unternehmen vor Augen geführt, wie entscheidend…
News | Favoriten der Redaktion | IT-Security | Strategien
DevSecOps: Schneller sichere Software

Immer wieder sorgen Datenverluste und Datenschutzverletzungen aufgrund fehlerhafter Software für Schlagzeilen. Auf der einen Seite werden Cyberkriminelle immer findiger, wenn es darum geht, Sicherheitslücken auszunutzen. Andererseits verschärfen Regierungen und Regulierungsbehörden zurecht die Bestimmungen zum Datenschutz. Das hat in vielen Unternehmen zu der Situation geführt, dass die IT-Sicherheitsspezialisten der beschleunigten Entwicklung von Software durch den Einsatz…
News | IT-Security | Strategien | Tipps
Security-Praxistipps: Sechs DevSecOps-Metriken für DevOps- und Sicherheitsteams

Mitarbeiter im DevOps-Team bekommen leicht das Gefühl, dass das Sicherheitsteam dazu da ist, ihnen die Arbeit schwerer zu machen. Sicherheitsfachkräfte haben vielleicht das Gefühl, dass DevOps ihre Prioritäten nicht teilt und die Sicherheit nie so ernst nehmen wird, wie sie es gerne hätten. Glücklicherweise muss das nicht so sein. Durch das Festlegen und Verfolgen gemeinsamer…
News | IT-Security | Ausgabe 11-12-2020 | Security Spezial 11-12-2020
DevSecOps – Security in DevOps-Geschwindigkeit
News | IT-Security | Tipps
In 6 Schritten zu DevSecOps

Während DevOps schon weitverbreitet ist, erkennen nun immer mehr Unternehmen, dass es entscheidend ist, nicht nur Entwicklung und Betrieb enger zu verzahnen, sondern, dass man auch Sicherheit immer von Anfang an mitdenken sollte. Dem trägt der DevSecOps-Ansatz Rechnung. Doch ebenso wie DevOps, ist dieser Ansatz kein Produkt, das man kauft, oder eine Lösung, die man…
News | Digitalisierung | Effizienz | Favoriten der Redaktion | Infrastruktur | IT-Security | Rechenzentrum | Services
Cybersicherheit und Container – So funktioniert die Umstellung auf DevSecOps

Die schnelle Einführung von Containern im Unternehmen sind eine einzigartige Gelegenheit dar, die generelle Sicherheitsstrategie zu verändern. Container stellen eine gute Möglichkeit dar, die Kluft zwischen Entwicklungs- und Sicherheitsteams zu überbrücken. Ist es möglich, dass Container das Unternehmen einen Schritt näher an DevSecOps heranbringen? Palo Alto Networks nimmt das Thema unter die Lupe. Computing hat…
News | Digitalisierung | Effizienz | IT-Security | Services | Strategien
DevSecOps: Unternehmen müssen umdenken, um in der Softwareentwicklung erfolgreich zu sein

Hindernis für die Integration von Sicherheit in die gesamte Softwareentwicklung sei laut der weltweiten Studie die bestehende Unternehmenskultur. Im Zentrum der weltweiten Studie »Integrating Security into the DNA of Your Software Lifecycle« von CA Technologies stand die Frage, wie sich die Kultur eines Unternehmens auf dessen Fähigkeit auswirkt, Sicherheit in den gesamten Software-Entwicklungsprozess einzubinden.…