Statistiken zeigen, dass eine große Anzahl von Sicherheitsverletzungen, die zum Diebstahl privater Daten führen, von Angreifern verursacht werden, die Schwachpunkte in der Software ausnutzen. Was ist zu tun, um Schwachstellen in der Software zu beseitigen? Eigentlich ist einfacher als man glaubt. Man muss in DevOps ein Gleichgewicht zwischen Geschwindigkeit und Sicherheit finden. Schauen wir uns den aktuellen Sicherheitsansatz in DevOps an.
Der aktuelle Sicherheitsansatz in DevOps
Wenn wir über Sicherheit in DevOps sprechen, müssen wir zunächst definieren, was Sicherheit ist. In der Welt der Softwareentwicklung, des Tests und des Betriebs kann Sicherheit viele verschiedene Dinge bedeuten. Es gibt viele Sicherheitsstufen: Von der Definition von Sicherheitsrichtlinien über die Automatisierung von Sicherheitstests, die Identifizierung von Schwachstellen, die Korrelation von Ergebnissen und die Behebung von Schwachstellen bis hin zur Verwaltung und Überwachung von Sicherheitsprogrammen und Entwickler-KPIs. Schauen wir uns jedoch zuerst die Funktions- und Anwendungssicherheitstests an.
Bei Funktionstests wird Software anhand einer Liste von Funktionskriterien getestet, um sicherzustellen, dass die Software wie beabsichtigt funktioniert. Diese Tests werden normalerweise durch verschiedene automatisierte und / oder manuelle Verfahren durchgeführt. Die Idee ist, dass Software betriebsbereit sein muss, bevor sie bereitgestellt wird. Funktionstests werden unmittelbar vor dem geplanten Go-Live der Softwareanwendung durchgeführt.
Die zweite Art von Tests wird als Application Security Testing (AST) bezeichnet. Hier müssen Schwachstellen identifiziert, Ergebnisse korreliert und Schwachstellen behoben werden, bevor die Software bereitgestellt wird. In vielen DevOps-Umgebungen werden beide Testarten (funktional und AST) durchgeführt. Hier entsteht häufig der Konflikt zwischen der Forderung nach Geschwindigkeit und dem Bedürfnis nach Sicherheit. Der Grund dafür ist, dass AST nicht in den gesamten Dev-Prozess eingebettet wurde. In den meisten Fällen existiert AST nur an einer Stelle – an dem Übergangspunkt, an dem Software von Dev zu Ops wechselt. Und das ist der Engpass, der zu Verzögerungen führt.
Für Entwicklungsteams ist der Go-toMarket Zeitpunkt am wichtigsten. AppSec-Teams haben den Blick darauf, dass die Software auch sicher ist. Das ist der Spagat. AST darf die Bereitstellung der Software nicht verzögern. Wenn das doch der Fall ist, dann hat man wahrscheinlich der Geschwindigkeit gegenüber der Sicherheit den Vorzug gegeben. Die dann auftretenden Verzögerungen durch AST, Schwachstellen-Triage und Korrekturen behindern den CI / CD Prozess erheblich. Es muss eine bessere Möglichkeit geben, AST während des gesamten DevOps-Prozesses durchzuführen. Es muss die Möglichkeit geben AST so einzubetten das keine Verzögerungen entstehen.
Ein besserer Sicherheitsansatz in DevOps
Es gibt die Möglichkeit, AST-Lösungen in alle Entwicklungsstufen einzubetten. Aber wie wird das gemacht? Die AST-Lösungen werden in die Entwicklungsstufen eingebettet, einschließlich Design, Code, Check-in, Build und Test / QA. Hier sind einige der derzeit verfügbaren AST-Lösungen auflisten:
SAST – Static Application Security Testing
DAST – Dynamic Application Security Testing
IAST – Integrated Application Security Testing
SCA – Software Composition Analysis
