Bjoern Zinssmeister ist Gründer und CEO von Templarbit, einem Security-Intelligence-Unternehmen, das Unternehmen bei der Etablierung eines datenbasierten AppSec-Ansatzes unterstützt. In diesem Blog teilt er seine Erfahrungen und Gedanken zur Zukunft von DevSecOps.

Im Jahr 2002, als ich noch ein (sehr) junger Programmierer bei einem deutschen Unternehmen für Enterprise-Software war, hatte ich das Glück, Teil eines kleinen Teams zu sein, das etwas entwickelte, was man heute als SaaS-App bezeichnen würde. Bis dahin hatte das Unternehmen seinen gesamten Gewinn mit dem Verkauf von Desktop-Software erzielt, die in einer Sprache geschrieben war, von der die meisten Menschen wahrscheinlich noch nie gehört haben: FoxPro. Doch anstatt meine Tage mit dem Debuggen von FoxPro-Code zu verbringen, beschäftigte ich mich nun mit der Entwicklung von JAVA-Webdiensten.

Heute weiß ich, dass das Unternehmen seiner Zeit voraus war, weil es die Weitsicht besaß, Webanwendungen als Zukunft zu erkennen. Doch damals war diese neue Art der Softwareentwicklung und -bereitstellung sowohl aufregend als auch beängstigend. Vieles war noch nicht durchdacht, und eine der unmittelbarsten Sorgen galt der Sicherheit. Das Web galt nicht als besonders sicher, und nur wenige Jahre zuvor, 1998, gab es die ersten öffentlichen Diskussionen über SQL-Injection im Web, was zeigte, wie anfällig webbasierte Systeme sein können.

Aus diesem Grund haben wir uns bemüht, sicheren Code auszuliefern, indem wir am Ende einer Version einen Sicherheitsüberprüfungsprozess eingerichtet haben – ein sehr isolierter Prozess, der manchmal strukturelle Mängel aufdeckte, die die Entwicklung um Wochen oder Monate zurückwarfen und zu großer Frustration führten.

Ich bin froh, dass sich die Dinge seitdem geändert haben. Einer der spannendsten Trends, den ich heute sehe, ist DevOps. Die neue Version „DevSecOps“ beinhaltet, Sicherheit früher in den Anwendungsentwicklungszyklus zu integrieren. Sicherheitsteams werden nun ermutigt, früher als bisher mit Entwicklern zusammenzuarbeiten, was einen deutlich engeren Feedback-Kreislauf ermöglicht. Das Hauptziel von DevSecOps ist es, sicherzustellen, dass Sicherheit Teil des Entwicklungszyklus ist und nicht erst am Ende nachträglich hinzugefügt wird.

Vorteile von DevSecOps

Mit DevSecOps können Entwicklungs- und Sicherheitsteams eine gemeinsame Sichtweise und Sprache für die Risikobewertung entwickeln. Dieser Ansatz ermöglicht es Unternehmen außerdem, den Kreis derjenigen zu erweitern, die über Sicherheit diskutieren, anstatt wichtige Entscheidungen auf das Sicherheitsteam zu beschränken.

Hier sind die drei wichtigsten Vorteile, die meiner Meinung nach für Unternehmen bei der Einführung eines DevSecOps-Prozesses die größten Auswirkungen haben:

1. Geschwindigkeit und Agilität werden zunehmen, was zu zufriedeneren Kunden führt.
   Software hat Endnutzer, die sich ein optimales Erlebnis, neue Funktionen und Integrationen wünschen. Außerdem möchten sie, dass Fehler schnell behoben werden. All dies ist jetzt möglich und gleichzeitig wird ein sichereres Produkt geschaffen. Mit Sicherheit als Teil des Agile-Teams können Unternehmen mögliche Schwachstellen frühzeitig erkennen und Entwickler vor riskanten Entwicklungen bewahren.
2. Sicherheit wird zum Mannschaftssport.
   Die Integration von Sicherheit in den Softwareentwicklungsprozess fördert eine Kultur, in der jeder beginnt, Risiko und Nutzen zu berücksichtigen. Anders ausgedrückt: Sicherheit wird zu einer gemeinsamen Verantwortung. Entwickler gewöhnen sich an, neue Funktionen bereits in der Planungsphase aus Sicherheitsperspektive zu analysieren. Produktmanager fördern die möglichen Sicherheitsauswirkungen einer Anwendungsänderung und planen oft sogar ein Gespräch darüber ein. Wenn mehr Menschen frühzeitig über Sicherheit nachdenken, können Unternehmen standardmäßig sicherere Software ausliefern.
3. Sie werden aktiv nach Automatisierung suchen.
   Ein wichtiger Aspekt von DevSecOps besteht in der Automatisierung der Sicherheit, um Geschwindigkeit und kontinuierliche Abdeckung zu erreichen. Die DevOps-Toolchain bietet den perfekten Einstieg in ein stärker automatisiertes Sicherheits-Setup. Wenn Sicherheit als natürliches Nebenprodukt des Entwicklungs-Workflows betrachtet wird, möchten Sie natürlich herausfinden, wie Sie sie so einrichten, dass jeder Commit auf mögliche Schwachstellen gescannt wird und gleichzeitig automatisierte Audits von Drittanbieterbibliotheken durchgeführt werden. Wunderbar.

DevSecOps bietet noch viele weitere Vorteile, doch die Verbesserung eines positiven Kundenerlebnisses, die Förderung einer sicherheitsbewussten Unternehmenskultur und die aktive Förderung der Automatisierung von Sicherheitsaufgaben sind einige der wirkungsvollsten Konzepte, die DevSecOps einem Unternehmen eröffnen kann.

Sicherheitstechnologie für DevOps

Die Integration von Sicherheit in den DevOps-Flow kann auf viele Arten beginnen, beginnt aber oft mit der Einführung neuer Technologien. Diese Technologien sind das Bindeglied zwischen Menschen und Prozessen und unterstützen manuelle Sicherheitsüberprüfungen, während sie dem Team Transparenz und Leistungsindikatoren zurückgeben. Ich empfehle Unternehmen oft, die folgenden Technologien als DevSecOps-Grundlage in Betracht zu ziehen:

• Automatisierte statische Anwendungssicherheitstests (SAST)
• Open-Source-Abhängigkeitsüberwachung
• Sicherheit von Laufzeitanwendungen
• Echtzeitwarnungen bei schwerwiegenden Sicherheitsereignissen

Mit diesen vier Säulen schaffen Sie eine grundlegende Grundlage für DevSecOps, die den gesamten Lebenszyklus einer App berücksichtigt. Das Auslösen eines statischen Anwendungssicherheitsscans beim Commit von neuem Code ist ein wichtiger Schritt, um häufige Probleme frühzeitig zu erkennen. Die Erweiterung dieses Scans um die Überprüfung bekannter Schwachstellen in Open-Source-Abhängigkeiten ist der nächste logische Schritt.

Sobald die Version in die Produktion geht, stellen Sie sicher, dass Sie über aktive Überwachungs- und Blockierungsfunktionen mit ausreichender Berichtsfunktion verfügen. Idealerweise ist diese Laufzeitüberwachung mit Ihren Echtzeitwarnungen verknüpft, um die Personen zu benachrichtigen, die auf die Warnungen reagieren können. Schließlich ist es sehr wünschenswert, dass die richtige Person sofort über ein schwerwiegendes Sicherheitsproblem informiert wird, und dies unterstreicht die Kundenorientierung.

Was kommt als Nächstes?

Die Zukunft von DevSecOps ist rosig und die Einführung proaktiver Sicherheit, die sich auf das Kundenerlebnis konzentriert und Datenlecks vorwegnimmt, anstatt darauf zu reagieren, ist ein Wandel, in den viele Unternehmen investieren.

DevSecOps bietet diesen Unternehmen zahlreiche Vorteile, darunter Kostensenkung, schnellere Bereitstellung, umfassende Compliance und die Förderung eines sicherheitsorientierten Denkens. Der Abbau von Barrieren zwischen Entwicklung, Sicherheit und Betrieb ist ein fortlaufender Prozess, und es entstehen ständig neue Tools, die dies effektiver unterstützen.

Mit der Zeit werden wir wahrscheinlich eine engere Integration und Orchestrierung zwischen verschiedenen Sicherheitstools erleben, die in der DevOps-Toolchain integriert sind. Anbieter von Runtime-Sicherheitslösungen nutzen zunehmend Integrationen mit Slack, PagerDuty und anderen Echtzeit-Benachrichtigungstools. Ich bin überzeugt, dass diese Integrationen noch tiefer gehen und es ermöglichen werden, bessere Erkenntnisse schneller an die richtige Person zu liefern.

Schauen Sie sich die PagerDuty – Templarbit-Integration Hier.