Organisationen des öffentlichen Sektors stehen bei der Entwicklung von Software zur Unterstützung wesentlicher Bürgerdienste unter erheblichem Druck. Die Lieferfristen sind kurz, die Budgets knapp, die Skills sind knapp und die Sicherheit von größter Bedeutung. Viele Organisationen des öffentlichen Sektors beschäftigen häufig erfahrene Auftragnehmer, um den Mangel an internen Sskills auszugleichen. Dies kann jedoch einige Herausforderungen mit sich bringen, wenn es darum geht, eine einheitliche Sicherheitsdisziplin sicherzustellen. Auftragnehmer haben oft ihre eigene Vorgehensweise und verfügen nicht immer über die Sicherheitskompetenz, die ihren Codierungsfähigkeiten entspricht.
Eine effektive Lösung besteht darin, die Entwicklungsumgebung so einzurichten, dass Sicherheitstests integriert werden, indem eine Sicherheitstestplattform bereitgestellt wird, die im Hintergrund ausgeführt wird und Warnungen für anfälliger Codezeilen sendet. So werden Schwachstellen früher erkannt und sind einfacher, kostengünstiger und weniger zeitaufwendig zu beheben.
Bei der Auswahl und Implementierung einer Anwendungssicherheitsplattform sind folgende fünf Punkte zu beachten:
Das Erstellen sicherer Anwendungen wird immer eine Kombination aus Technologie, Mitarbeitern und Prozessen sein. Wenn Sie dies als Kauf einer Software zur Behebung eines Problems ansehen, schlägt dies fehl. Es muss ein unterstützendes Werkzeug in einer Kultur sein, die Sicherheit als integralen Bestandteil von DevOps betrachtet und Software entwickeln möchte, die Cybersicherheit und Compliance durch Design beinhaltet. Eine Anwendungssicherheitsplattform arbeitet mit Entwicklungsteams zusammen, um das inhärente Risiko zu verringern. Das Team muss jedoch die Erwartungen an eine sichere Entwicklung erfüllen, die die Sicherheit der Software gewährleistet.
Dies ist besonders wichtig angesichts der hohen Fluktuation in den Projekten. Dadurch ist es schwierig, Skills von einem Projekt zum nächsten zu sichern. Indem Sie eine strukturierte Umgebung erstellen, die Sicherheitsüberprüfungen in jeder Phase des Software Development Life Cycle (SDLC) umfasst, ergänzen Sie die Skills der Entwickler und entwerfen Ihre eigenen Best Practices für eine sichere Softwarebereitstellung, die unabhängig von den verschiedenen Personen, die Software erstellen zum Standard wird.
Niemand macht sich daran, anfälligen Code zu schreiben, aber Entwicklern fehlt es oft an Möglichkeiten. Durch die Auswahl einer Plattform, die Automatisierung verwendet und Entwicklern Anleitungen zum Beheben von Sicherheitslücken bietet, geben Sie Entwicklern mehr Verantwortung für den Sicherheitsaspekt ihrer Arbeit. Dies gibt ihnen die Möglichkeit, ihre Sicherheitsfähigkeiten zu verbessern und hilft ihnen, Probleme in Echtzeit zu beheben, während der Aufwand für den Sicherheitsprozess minimal bleibt.
Um die Akzeptanz zu fördern, muss die Sicherheitsplattform die Ergebnisse von Code-Scans so bereitstellen, wie Entwickler sie erhalten möchten. Jeder Versuch, neue Phasen oder Prozesse einzuführen, führt zur Ablehnung, die den Return on Investment verlangsamt. Wenn ein Entwickler beispielsweise GitLab verwendet, sollten die Scanergebnisse wieder in GitLab übertragen werden. Die AppSec-Plattform benötigt die Flexibilität, um sich in die vom Entwickler verwendete Umgebung zu integrieren.
Es gibt keinen universellen Index, der besagt, dass ein Risiko, das für eine Organisation akzeptabel ist, für eine andere akzeptabel ist. Sie müssen die Auswirkungen des Sicherheitsrisikos bewerten, das mit der von Ihnen erstellten Software verbunden ist und feststellen, was akzeptabel ist und was nicht. Anschließend müssen Sie ein Risikomanagement-Framework entwickeln, das die Software-Sicherheitsplattform mit automatisierten Regeln ausstattet und die Entwicklungsteams auf inakzeptable Risiken aufmerksam macht.
Risikomanagement ist ein kontinuierlicher Prozess, keine einmalige Übung. Es muss regelmäßig überprüft werden, ob neue Risiken und Schwachstellen auftreten.
Die Sicherheitsstandards, die Anwendungen erfüllen müssen, werden häufig von der Compliance-Landschaft des Unternehmens bestimmt. Von GDPR über HIPAA und PCI DSS bis Sarbanes-Oxley gibt es eine Reihe von nationalen und internationalen Vorschriften zu berücksichtigen. Die Software-Sicherheitsplattform muss konfigurierbar sein, um die schnelle Entwicklung kompatibler Anwendungen zu unterstützen. Geschwindigkeit ist wie immer entscheidend.
Auch wenn die Anwendung nicht direkt durch Vorschriften geregelt ist, empfiehlt es sich, Listen wie OWASP Top Ten, SANs Top 25 und CERT-Codierungsstandards zu berücksichtigen. Die Verwendung einer Plattform mit Tools, die diesen Standards entsprechen und benutzerdefinierte, organisationsspezifische Vorlagen erstellen können, um eine sichere und zeitnahe Softwarebereitstellung zu unterstützen, bietet ein entscheidendes Maß an Sicherheit.
Die Auswahl der richtigen Software-Sicherheitsplattform ist ein wichtiger Schritt zum Erstellen sicherer Anwendungen, ohne die Arbeitsweise der Entwickler zu beeinträchtigen. Als Teil einer Kultur, die die Bedeutung der Sicherheit betont, schafft sie das Vertrauen, dass öffentlich zugängliche Anwendungen die personenbezogenen Daten der Bürger schützen können, denen sie dienen.
