Warum sind Sicherheit und Agilität keine Gegensätze und wie wird DevOps mit den richtigen Werkzeugen zu DevSecOps?

DevOps ist heute für viele Unternehmen das Mittel der Wahl, wenn es gilt, die Softwarebereitstellung zu automatisieren und die Release-Zyklen zu verkürzen. Dabei hat die Security jedoch oft das Nachsehen, da sich klassische Software-Security-Modelle nur schwer an die agile Umgebung anpassen lassen. Sicherheit und Agilität müssen sich ergänzen und DevOps muss mit den richtigen Tools zu DevSecOps werden.

Der digitale Wandel in der Businesswelt schreitet voran – und hat durch die Corona-Krise deutlich an Wucht gewonnen. Software ist wichtig wie nie und prägt über alle Branchen hinweg die Arbeitsprozesse und die Arbeitswelten. Software wird im Zuge von Vernetzung, Mobilität, Cloud, IoT, Microservices und KI aber auch immer komplexer, und damit anfällig für Angriffe. Und das Risikopotenzial wächst, wenn Unternehmen auf DevOps migrieren, ohne robuste Security Practices zu implementieren.

DevOps automatisieren und beschleunigen die Prozesse für die Softwarebereitstellung: Entwicklung, Tests und Bereitstellung erfolgen regelmäßig, in kurzen Abständen und in enger Zusammenarbeit der Entwickler- und Operations-Teams. Bei allen Vorzügen ist das agile Modell aber schwer mit klassischen Software-Security-Ansätzen wie punktuellen Code-Reviews oder Pentests vereinbar. Denn bei all diesen Verfahren werden sicherheitsrelevante Fehler erst spät im Entwicklungszyklus identifiziert und können nur mit hohem Aufwand behoben werden. Kein Wunder also, dass der Security in vielen Entwicklungsabteilungen der Ruf anhaftet, agile Prozesse auszubremsen.

Der erste Schritt auf dem Weg von DevOps zu DevSecOps ist es daher, manuelle Testverfahren durch automatisiertes, transparentes Application Security Testing (AST) zu ersetzen. Um Schwachstellen sowohl in unkompiliertem Code als auch in laufenden Anwendungen und in Open-Source-Komponenten zuverlässig zu identifizieren, hat es sich dabei bewährt, mehrere Testverfahren in verschiedenen Phasen des SDLC zu kombinieren:

Static Application Security Testing (SAST)-Lösungen scannen inkrementell den unkompilierten Code während der Softwareentwicklung. Sie spüren gängige Sicherheitsschwachstellen wie SQL-Injections auf und zeigen auf, wie Schwachstellen behoben werden können. SAST lässt sich nahtlos in integrierte Entwicklungsumgebungen (IDEs), Issue-Tracker und Build-Tools einfügen und wird von den Entwicklern erfahrungsgemäß gut angenommen, da die Analyse keine Verzögerungen verursacht.
Interactive Application Security Testing (IAST)-Lösungen erkennen sicherheitsrelevante Schwachstellen im Rahmen der Funktionstests in der Laufzeitumgebung – also vor dem Roll-out der Anwendungen. IAST analysiert, wie die Teile einer Anwendung zusammenwirken und in der Laufzeitumgebung funktionieren, und kann so viele Schwachstellen in laufenden Anwendungen aufdecken. Die Lösungen gliedern sich dabei ebenfalls nahtlos in DevOps ein, da die Tests im Rahmen der standardmäßigen Funktionstests erfolgen.
SCA-Lösungen (Software Composition Analysis) dienen dazu, die Risiken von Open-Source-Software zu minimieren. Diese ist heute in nahezu allen Anwendungen enthalten, da man damit schneller und wirtschaftlicher entwickeln kann. Open-Source-Code birgt aber auch Gefahren: Er weist häufig Schwachstellen auf, die im Dschungel der Distributionen nur schwer zu finden sind. Die Lizenzierung ist unübersichtlich. Und Unternehmen machen sich mit der Einbindung von Open-Source-Code von der jeweiligen Community abhängig. All diese Risiken lassen sich mit SCA-Lösungen minimieren.

Über eine ganzheitliche Plattform wird Security in moderne Entwicklungsumgebungen eingebettet. Somit wird Software-Security zu einem integralen Bestandteil der Infrastruktur, nahtlos eingebunden in DevOps-Prozesse und CI/CD-Pipeline – vom unkompilierten Code bis hin zu Laufzeittests der Software.

Orchestrierung und Korrelation. Wer mehrere dieser AST-Lösungen einsetzt, sollte darauf achten, eine übergeordnete Integrations- und Orchestrierungsebene zu implementieren. Dies ermöglicht es, Sicherheitsrisiken unternehmensweit zu tracken, zu managen und zu beheben – und stellt die Weichen für eine durchgängige Korrelation der Analyse-Ergebnisse. Dabei werden die Resultate der AST-Lösungen abgeglichen und mit Kontext-Informationen angereichert. So erweisen sich mitunter mehrere, scheinbar harmlose Fehlermeldungen im Zusammenspiel als kritische Schwachstelle.

AppSec-Awareness ist der Schlüssel. Der vielleicht wichtigste Schritt ist es aber, bei den Security- und Entwickler-Teams das Bewusstsein für die Software-Security zu schärfen – und sie im sicheren Coding fit zu machen. Dabei hat es sich bewährt, den Entwicklern Secure Coding Education (SCE) im Rahmen eines AppSec-Awareness-Programms zur Verfügung zu stellen, das direkt in ihre IDEs integriert ist. Mithilfe von Just-in-time-Schulungslösungen, kontinuierlicher Kommunikation und spielerischen Elementen unterstützen Security-Manager die Entwickler dabei, in ihrer täglichen Arbeit stets auf die Sicherheit zu achten.

AppSec Services

Viele Bereiche der App-Security lassen sich heute über Managed Services abbilden. Dabei übernehmen die Hersteller die Einführung und Implementierung der AppSec-Lösung, definieren sichere Coding-Praktiken und unterstützen bei Security-Tests und der Behebung von Schwachstellen. Flankierende Kick-Start-Programme helfen bei der Implementierung und Integration der Security-Lösungen in den SDLC, bei der Analyse von Security Findings, bei der Reduzierung von Fehlalarmen, bei Schulung oder der Modellierung von Bedrohungsszenarien.

Fazit. Wer von DevOps profitieren will, muss die Weichen für eine eng am SDLC ausgerichtete Application Security stellen. Je umfassender die Security-Prozesse dabei automatisiert werden, desto schneller und nachhaltiger lässt sich die Qualität, Präzision, Sicherheit und Geschwindigkeit der entwickelten Software verbessern. Auf diese Weise überführen die Unternehmen DevOps in DevSecOps – und steigern so nicht nur die Sicherheit ihrer Anwendungen, sondern auch ihre KPIs und ihren ROI. Denn die schnelle und sichere Bereitstellung von Software wird in der digitalisierten Businesswelt immer mehr zum wichtigsten Differenzierungsmerkmal.

Dr. Christopher Brennan,
Director DACH
bei Checkmarx

Illustrationen: © bomg /shutterstock.com

170 Artikel zu „DevSecOps“

NEWS | IT-SECURITY | TIPPS

In 6 Schritten zu DevSecOps

23. Februar 2020

Während DevOps schon weitverbreitet ist, erkennen nun immer mehr Unternehmen, dass es entscheidend ist, nicht nur Entwicklung und Betrieb enger zu verzahnen, sondern, dass man auch Sicherheit immer von Anfang an mitdenken sollte. Dem trägt der DevSecOps-Ansatz Rechnung. Doch ebenso wie DevOps, ist dieser Ansatz kein Produkt, das man kauft, oder eine Lösung, die man…

Warum sind Sicherheit und Agilität keine Gegensätze und wie wird DevOps mit den richtigen Werkzeugen zu DevSecOps?

Dr. Christopher Brennan, Director DACH bei Checkmarx

170 Artikel zu „DevSecOps“

Dr. Christopher Brennan,
Director DACH
bei Checkmarx