Illustration Absmeier foto freepik

Application Security spielt auch für Entwickler eine immer größere Rolle. DevOps-Verantwortliche stehen vor der Herausforderung, das Thema Anwendungssicherheit nahtlos in den bestehenden Entwickler-Workflow zu integrieren – und AppSec-Tools bereitzustellen, die Entwickler nicht in ihrer Produktivität einschränken. Patrick Siffert, Regional Director DACH & Iberia bei Checkmarx, erklärt, worauf es bei der Wahl des richtigen AppSec-Tools ankommt.

In der modernen Unternehmenslandschaft kommt Entwicklern eine Schlüsselrolle zu – sie werden jedoch auch mit immer höheren Anforderungen konfrontiert. Ein konkretes Beispiel: In den vergangenen fünf Jahren ist das Thema Application Security sukzessive in den Verantwortlichkeitsbereich der Entwickler gewandert. Damit müssen sie einen weiteren Schritt in ihrem Workflow berücksichtigen – und enger mit Security-Verantwortlichen zusammenarbeiten, die oftmals ein anderes Mindset vertreten und unterschiedliche Prioritäten setzen. Für eine erfolgreiche Zusammenarbeit der beiden Parteien bedarf es nicht nur kultureller Anpassungen, beispielsweise eines Wechsels hin zum DevSecOps-Ansatz, sondern auch der richtigen Tools – mit denen Entwickler nicht nur arbeiten können, sondern auch arbeiten wollen.

Genau die richtigen Tools und Informationen

Nicht jeder Entwickler ist auch ein Secure-Coding-Experte. Daher müssen ihnen die AppSec-Anbieter alle notwendigen Informationen und Tools an die Hand geben, um Schwachstellen schnell und effizient fixen zu können – ohne mühsame und zeitaufwendige Suche nach der richtigen Lösung. Neben einem leistungsfähigen Backend, das Schwachstellen-Scans durchführt sowie die gefundenen Sicherheitslücken korreliert und priorisiert, gehören hierzu auch passende, auf die Anforderungen der Entwickler zugeschnittene AppSec-Tools. Bewährte Features, um die Arbeit der Entwickler zu vereinfachen und zu beschleunigen, sind etwa:

Anzeige der Best-Fix Location (BFL): BFL erkennt automatisch diejenige Codezeile, in der Entwickler eine Schwachstelle – oder, im Idealfall, gleich mehrere Schwachstellen mit ein und derselben Aktion – beheben können.
KI-gestützte Secure Coding Assistants: Diese performanten und KI-nativen Tools lassen sich direkt in die Entwicklungsumgebung (IDE) einbinden und schlagen Alarm, wenn gegen gängige Secure Coding Best Practices verstoßen wird. In-Line-Scans und Optimierungsvorschläge helfen Entwicklern, Schwachstellen zügig und im Rahmen ihres bestehenden Workflows zu beheben.
Auto-Remediation: Im Idealfall sollten Schwachstellen bereits während des Codings behoben werden. Auch hier ist Künstliche Intelligenz eine wertvolle Stütze, zum Beispiel in Form von KI-generierten Code-Snippets, die zur In-Line-Behebung von Schwachstellen verwendet werden können. KI-generierte Anleitungen, Guides und Tipps in natürlicher Sprache sind eine zusätzliche Entlastung bei der Schwachstellenbehebung.
Ausführliche Remediation Guidance und Secure-Coding-Training: Lösungen, die innerhalb der IDE detaillierte Informationen zu jeder Schwachstelle liefern, sind ebenfalls von hohem Wert, ebenso wie Tools, die den Entwickler automatisch zu Secure-Coding-Trainings weiterleiten, um kontinuierlich Know-how aufzubauen.

Entwicklern den notwendigen Raum für ihre Arbeit geben

Aus Effizienzgründen ist es sinnvoll, Security-Tasks direkt in den bestehenden Workflow zu integrieren. Bei der Entscheidung für ein AppSec-Tool müssen DevOps-Verantwortliche ihr Augenmerk daher vorrangig auf die nahtlose Integration mit IDEs, SCMs, Feedback-/Bug-Tracking-/Alarmierungs-Tools und -Systemen sowie CI/CD-Pipeline-Tools legen. Darüber hinaus sollte der Zugriff auf das Tool für die Entwickler möglichst einfach sein (je nach individueller Arbeitsweise via Webhooks und CLI-Tools), inklusive des schnellen und einfachen Downloads von Plug-ins.

Die nahtlose Integration in die Entwicklerumgebung ist aber nur ein Aspekt, den es zu berücksichtigen gilt: Das Tool muss auch dafür ausgelegt sein, die Bearbeitung von Security Tasks für Entwickler so einfach wie möglich zu gestalten – zum Beispiel durch die Integration KI-gestützter Secure-Coding-Funktionalitäten, die Vermittlung von Security-Know-how oder vielfältige Automatisierungsmöglichkeiten.

Um das Thema Security nahtlos in die Arbeitsabläufe der Entwickler einzubinden und den DevSecOps-Ansatz unter Entwicklern stärker zu fördern, ist eine breite Palette von Integrationen und Instrumenten ausschlaggebend. Hier einige Beispiele:

IDE-Features, einschließlich VS Code, JetBrains, Visual Studio und Eclipse
SCM-Integrationen, einschließlich GitHub Cloud, GitLab Cloud, Bitbucket Cloud, Azure DevOps Cloud et cetera
Bug Tracking- und Alerting-Tools, beispielsweise Jira, GitHub Issue, Azure DevOps Bug Board, Slack, Teams, E-Mail und so weiter
CI/CD-Integrationen (via Plug-in oder CLI), unter anderem Jenkins, Team City, GitHub, Azure DevOps, Maven, Bitbucket Pipelines, CircleCI, GitLab, Bamboo und CodeBuild
AI Secure Coding Assistants

Alle Funktionalitäten auf einer Plattform

Verantwortliche aus den Bereichen DevOps, Plattform-Engineering und Production Security arbeiten in ihren Teams täglich mit Entwicklern zusammen, die viele unterschiedliche Tools nutzen. Eine durchgängige AppSec-Plattform kann das Management komplexer Entwicklungsprozesse in Enterprise-Umgebungen nachhaltig vereinfachen – und gewährleistet kontinuierliche, lückenlose und automatisierte Security über alle Arbeitsschritte hinweg. Konkret bedeutet das: Eine solche Plattform ermöglicht es Entwicklern, alle erforderlichen Security-Werkzeuge aus einer Quelle zu beziehen, bindet Security-Checks nahtlos in den SDLC mit ein, minimiert den Impact von Schwachstellen-Scans auf den Entwicklungsfluss und reduziert Wartezeiten.

Ob es gelingt, die Entwicklungspipeline lückenlos zu schützen, hängt von einer Reihe von Faktoren an:

Dynamische Engines: Vorkonfigurierte Engines gehen mit hohen Kosten einher. Die dynamische Zuweisung, Verwaltung und Freigabe von Engines in containerisierten Umgebungen kann die Nutzung von Ressourcen nachhaltig optimieren – was langfristig attraktive Einsparpotenziale eröffnet. Ein weiterer Vorteil: Entwickler können Scans jederzeit starten, ohne den Entwicklungsfluss zu stören.
Flexibles und frühzeitiges Scanning: Umfassende Sicherheit und schnelle Security-Überprüfungen, die den Entwicklungsprozess nicht behindern, sind das A und O. Im Idealfall können die Entwickler dabei auf verschiedene Konfigurationen zurückgreifen, die passgenau auf die jeweilige Anwendung und deren Anforderungen zugeschnitten sind. Zusätzliche Pluspunkte gibt es, wenn sich das Tool in Code-Repositories integrieren lässt, um nicht kompilierten Code während des Check-ins zu scannen, und wenn sich Sicherheitsüberprüfungen aus einem Pull Request heraus starten lassen.
Integration verschiedener Tools über den SDLC hinweg: Eine ganzheitliche AppSec-Plattform stellt Entwicklern eine Vielzahl von Tools zur Verfügung, die sich flexibel über den kompletten SDLC hinweg implementieren lassen. Das ermöglicht es Entwicklern, Sicherheitsprüfungen genau an den Punkten im Entwicklungsprozess durchzuführen, an denen es am besten zum eigenen Workflow passt.

Fazit: Die Eckpfeiler entwicklerfreundlicher Application Security

Traditionelle AppSec-Tools liefern nicht immer verwertbare Ergebnisse, hemmen mitunter den Entwicklungsprozess und bieten Entwicklern insgesamt keinen echten Mehrwert. Daher sollten Unternehmen bei der Auswahl einer AppSec-Lösung darauf achten, dass diese den Entwicklern alle Informationen und Werkzeuge an die Hand gibt, die sie benötigen, um Schwachstellen effizient zu beheben. Dabei gilt es, das Thema Security tief in den Arbeitsabläufen der Entwickler (von IDEs bis hin zu CI/CD-Pipelines) zu verankern, um den Entwicklungsprozess nachhaltig zu optimieren – statt ihn auszubremsen. Dies gelingt am besten, wenn alle AppSec-Funktionen auf einer ganzheitlichen Plattform zusammengeführt werden: Diese garantiert den Entwicklern vollständige Transparenz über den SDLC, vermeidet einen unübersichtlichen Wildwuchs von Werkzeugen und kann die Kosten nachhaltig senken.

547 Artikel zu „DevSecOps“

Trends 2025 | News | Business | Künstliche Intelligenz

Trends 2025: GenAI & Anwendungsmodernisierung, ROI-Messung von KI und DevSecOps

7. Januar 2025

Experten von GitLab prognostizieren maßgeschneiderte KI-Modelle on-premises, KI-Modelle von Open-Source-Projekten, ein Überdenken des Risikomanagements bei der Nutzung von KI, die wirtschaftliche Modernisierung von Anwendungen im großen Stil, die Verabschiedung isolierter KI-Anwendungen, die Erhöhung der Sicherheit bei DevOps und KI-Agenten als Katalysatoren für die Transformation der Software-Lieferkette. Ashley Kramer Chief Sales & Marketing Officer und…