Die Integration von Sicherheit in den Entwicklungslebenszyklus einer Software ist seit Jahren ein viel beschworenes Mantra. Jetzt, da sich DevOps mehr und mehr etabliert, hat die Entwicklungsgeschwindigkeit um Größenordnungen zugelegt. Das macht die Aufgabe deutlich komplizierter und anspruchsvoller als noch vor einigen Jahren. In der Realität ist Geschwindigkeit der alles bestimmende Parameter. Die Aufgabe eines…
Softwarestücklisten (Software Bill of Materials, kurz SBOM) bilden ein wichtiges Fundament für die Sicherheit von Softwarelieferketten, aber auch für andere Bereiche der IT-Sicherheit im Unternehmen. Deshalb kann heute kein Unternehmen auf SBOMs verzichten. Die meisten proprietären Anwendungen und viele Open-Source-Programme enthalten nicht nur eigenen Quellcode, sondern oft auch weiteren, externen Code für bestimmte Funktionen.…
Jüngsten Berichten zufolge sind Schwachstellenforscher erneut auf Sicherheitsprobleme bei einem GPS-Tracker gestoßen. Der Hersteller wirbt unter anderem damit, dass seine Produkte in zirka 1,5 Millionen Fahrzeugen in 169 Ländern verbaut werden. Insgesamt sechs Schwachstellen betreffen das MiCODUS MV720-Gerät, das in Fahrzeugen mehrerer Fortune-50-Unternehmen, bei europäischen Regierungsbehörden, US-Bundesstaaten, einer südamerikanischen Militärbehörde und einem Kernkraftwerksbetreiber eingesetzt wird.…
Im Durchschnitt verwendet ein Unternehmen für seinen gesamten Softwareentwicklungslebenszyklus (SDLC) 11 verschiedene AppSec-Tools. Dabei sind Penetrationstests, die Überprüfung des Quellcodes, Risk Assessments, Threat Models und vieles weitere noch gar nicht berücksichtigt. Es ist nicht einfach für Firmen in puncto Sicherheit mit Hunderten von CI/CD-Pipelines zu jonglieren. Hinzu kommt ein starke Diskrepanz zwischen den Ergebnissen manueller…
Wieso die Inventarisierung von Softwarekomponenten so wichtig ist In nahezu jeder proprietären Software stecken verschiedene Open-Source-Komponenten. Das hat Vorteile, birgt aber auch Risiken, wie nicht zuletzt die Sicherheitslücke in log4j gezeigt hat. Unternehmen sollten reagieren und unbedingt eine vollständige Liste der Softwarekomponenten pflegen, die in den eingesetzten Anwendungen zum Einsatz kommen. Wenn Unternehmen und…
Entwicklungsteams von Morgen denken nicht nur an Code, Sicherheit und den alltäglichen Arbeitsbetrieb, sondern auch an die Rentabilität – den ROI. In einer zunehmend digitalisierten Welt ist es unerlässlich, dass die Verantwortlichen für den ständigen Wandel bei der Modernisierung ihrer IT-Strukturen Geschäftsziele mitdenken. Spätestens die Covid-19 Pandemie hat Unternehmen vor Augen geführt, wie entscheidend…
Eine neue Studie identifiziert sieben Agile-Treiber, die das Unternehmenswachstum um 63 Prozent steigern können. Infosys stellt neue Enterprise Agile DevOps-Funktionen vor – damit sind Unternehmen in der Lage, ihre Kunden verstärkt in den Fokus zu setzen und Innovationen voranzutreiben. Zu den wichtigsten Funktionen zählen ein produktzentriertes Wertschöpfungsmodell sowie ein datenbasierter Live-Engineering-Ansatz. Damit haben Organisationen die Möglichkeit,…
Immer wieder sorgen Datenverluste und Datenschutzverletzungen aufgrund fehlerhafter Software für Schlagzeilen. Auf der einen Seite werden Cyberkriminelle immer findiger, wenn es darum geht, Sicherheitslücken auszunutzen. Andererseits verschärfen Regierungen und Regulierungsbehörden zurecht die Bestimmungen zum Datenschutz. Das hat in vielen Unternehmen zu der Situation geführt, dass die IT-Sicherheitsspezialisten der beschleunigten Entwicklung von Software durch den Einsatz…
Nutzer stellen hohe Anforderungen an Anwendung, die sie täglich nutzen: Sie müssen leicht zu handhaben sein und schnell reagieren. Darüber hinaus können sich Nutzeranforderungen sehr schnell verändern. Während Anbieter versuchen, diesen Erwartungen zu entsprechen, steigt die Herausforderung, sich gleichzeitig vor sicherheitsrelevanten Bedrohungen und böswilligen Eingriffen zu schützen. User Experience und Sicherheit gehen daher Hand in Hand.…
Mitarbeiter im DevOps-Team bekommen leicht das Gefühl, dass das Sicherheitsteam dazu da ist, ihnen die Arbeit schwerer zu machen. Sicherheitsfachkräfte haben vielleicht das Gefühl, dass DevOps ihre Prioritäten nicht teilt und die Sicherheit nie so ernst nehmen wird, wie sie es gerne hätten. Glücklicherweise muss das nicht so sein. Durch das Festlegen und Verfolgen gemeinsamer…
Warum sind Sicherheit und Agilität keine Gegensätze und wie wird DevOps mit den richtigen Werkzeugen zu DevSecOps?
Die 11. Version des »Building Security In Maturity Model« demonstriert, wie Unternehmen Softwaresicherheit anpassen können, um moderne Software-Entwicklungsparadigmen zu unterstützen. Synopsys veröffentlichte BSIMM11, die aktuelle Version des Building Security In Maturity Model (BSIMM). BSIMM unterstützt Unternehmen bei der Planung, Ausführung, Analyse und Verbesserung ihrer Softwaresicherheitsinitiativen (SSIs). Die Studie spiegelt die Softwaresicherheitspraktiken von 130 Unternehmen…
Durch DevSecOps ist das Thema Sicherheit in den Mittelpunkt der modernen Entwicklung gerückt. Sicherheits- und Entwicklungsteams werden jedoch von unterschiedlichen Metriken geleitet, und das kann die Ausrichtung auf ein gemeinsames Ziel erschweren. Die Problematik verschärft sich zusätzlich, weil es den meisten Sicherheitsteams an Wissen fehlt, wie moderne Anwendungsentwicklung tatsächlich abläuft. Microservices-gesteuerte Architekturen, Container und serverfreie…
Veränderte Zuständigkeiten: Fast 70 % der Operations-Teams bestätigen, dass Entwickler ihre eigenen Umgebungen bereitstellen können. Die aktuelle DevSecOps-Umfrage von GitLab zeigt, wie sich die Rollen in Software-Entwicklungsteams verändert haben, seit immer mehr Teams DevOps nutzen [1]. Die Umfrage unter mehr als 3650 Teilnehmern aus 21 Ländern weltweit ergab, dass der zunehmende Einsatz von DevOps…
Während DevOps schon weitverbreitet ist, erkennen nun immer mehr Unternehmen, dass es entscheidend ist, nicht nur Entwicklung und Betrieb enger zu verzahnen, sondern, dass man auch Sicherheit immer von Anfang an mitdenken sollte. Dem trägt der DevSecOps-Ansatz Rechnung. Doch ebenso wie DevOps, ist dieser Ansatz kein Produkt, das man kauft, oder eine Lösung, die man…
Das sind die drei wichtigsten Trends im Bereich Anwendungssicherheit für 2020: Steigende Komplexität, Open Source und DevSecOps. Veracode veröffentlichte vor Kurzem die zehnte Ausgabe ihres jährlich erscheinenden State of the Software Security (SoSS) Reports [1]. In diesem beschreibt der Anwendungssicherheitsspezialist, wie sich die Sicherheit von Software und Applikationen im Laufe der letzten Jahre entwickelt hat…
Bedrohungen bleiben auf hohem Niveau, aber neue Ansätze können helfen. Bereits seit 2009 veröffentlicht der Anwendungssicherheitsspezialist Veracode jedes Jahr seinen State of Software Security (SoSS) Report. Zur zehnjährigen Ausgabe liegt es da natürlich nahe, einen Vergleich zu ziehen und einen Blick auf die Entwicklungen in der letzten Dekade zu werfen. Zunächst fällt auf, dass die…
Geht es um die Cybersicherheit, steht der Themenkomplex »Governance, Risk and Compliance (GRC)« oft nicht im Fokus. Er wird nicht selten als bürokratische Hürde angesehen, die der Gefahrenabwehr im Weg steht. Die Bedeutung von GRC sollte jedoch nicht unterschätzt werden. Schließlich hilft ein gezieltes Programm Unternehmen dabei, ihre Sicherheits- und Compliance-Ziele zu erreichen. Gut umgesetzt…
Silos in der Unternehmens-IT führen zu unnötigen Sicherheitsrisiken. Die mangelnde Beteiligung der IT-Security an DevOps-Projekten führt laut einer Umfrage für 62 % der IT-Führungskräfte in Deutschland zu einem erhöhten Cyberrisiko. Um die DevOps-Kultur besser zu verstehen, beauftragte der japanische IT-Sicherheitsanbieter Trend Micro das unabhängige Marktforschungsunternehmen Vanson Bourne damit, 1.310 IT-Entscheider in KMUs und Großunternehmen…
Bei der Softwareentwicklung von Desktop-, Web- und Mobil-Anwendungen kommt niemand mehr an Security by Design vorbei. Software muss von Grund auf und von Anfang an sicher sein. Nur so ist sie optimal vor Cyberattacken, Datenmanipulation und Datendiebstahl geschützt. Die Anzahl von Cyberattacken steigt weiter rasant und die Angriffe werden zunehmend komplexer. Statt im Nachhinein immer…