Bjoern Zinssmeister ist Gründer und CEO von Templarbit, einem Security-Intelligence-Unternehmen, das Unternehmen dabei hilft, einen datengesteuerten Ansatz für AppSec zu etablieren. In diesem Blog teilt er seine Erfahrungen und Gedanken zur Zukunft von DevSecOps.

Im Jahr 2002, als ich (sehr) junger Programmierer bei einem deutschen Unternehmen für Unternehmenssoftware war, hatte ich das Glück, Teil eines kleinen Teams zu sein, das etwas entwickelte, was man heute als SaaS-App bezeichnen würde. Bis dahin hatte das Unternehmen seinen gesamten Gewinn mit dem Verkauf von Desktop-Software gemacht, die in einer Sprache geschrieben war, von der die meisten Leute wahrscheinlich noch nie gehört haben: FoxPro. Aber anstatt meine Tage mit dem Debuggen von FoxPro-Code zu verbringen, war ich jetzt damit beschäftigt, JAVA-Webdienste auf der grünen Wiese zu entwickeln.

Heute ist mir klar, dass das Unternehmen seiner Zeit voraus war, weil es den Weitblick hatte, zu erkennen, dass die Zukunft Webanwendungen waren. Aber damals war diese neue Art, Software zu entwickeln und zu vertreiben, sowohl aufregend als auch beängstigend. Viele Dinge waren noch nicht durchdacht und eine der unmittelbaren Sorgen war die Sicherheit. Das Web galt nicht als besonders sicherer Ort und nur wenige Jahre zuvor, 1998, gab es die ersten öffentlichen Diskussionen über eine SQL-Injection im Web, was zeigte, wie anfällig ein webbasiertes System sein kann.

Aus diesem Grund haben wir uns bemüht, sicheren Code auszuliefern, indem wir am Ende einer Veröffentlichung einen Sicherheitsüberprüfungsprozess eingeführt haben – ein sehr isolierter Prozess, der manchmal strukturelle Mängel aufdeckte, die die Entwicklung um Wochen oder Monate zurückwarfen und zu großer Frustration führten.

Ich bin froh, dass sich die Dinge seitdem geändert haben. Einer der aufregendsten Trends, die ich heute kommen und bleiben sehe, ist DevOps, und seine neue Version „DevSecOps“ beinhaltet, Sicherheit früher in den Anwendungsentwicklungszyklus zu integrieren. Sicherheitsteams werden jetzt ermutigt, früher als zuvor mit Entwicklern zusammenzuarbeiten, was eine viel engere Feedbackschleife ermöglicht. Das Hauptziel von DevSecOps besteht darin, sicherzustellen, dass Sicherheit Teil des Entwicklungszyklus ist und nicht erst am Ende als nachträglicher Einfall hinzugefügt wird.

Vorteile von DevSecOps

Mit DevSecOps können Entwickler- und Sicherheitsteams eine gemeinsame Sichtweise und Sprache zur Risikobewertung entwickeln. Dieser Ansatz ermöglicht es einem Unternehmen auch, den Kreis derjenigen zu erweitern, die sich über Sicherheit unterhalten, anstatt wichtige Entscheidungen auf die Blase des Sicherheitsteams zu beschränken.

Hier sind die drei Hauptvorteile, die meiner Meinung nach für Unternehmen bei der Einführung eines DevSecOps-Prozesses die größten Auswirkungen haben:

1. Geschwindigkeit und Agilität werden zunehmen, was zu zufriedeneren Kunden führt.
   Software hat Endbenutzer und diese Benutzer möchten ein großartiges Erlebnis, neue Funktionen und Integrationen. Sie möchten auch, dass Fehler schnell behoben werden. All dies ist jetzt möglich, während gleichzeitig ein sichereres Produkt entsteht. Mit Sicherheit als Teil des Agile-Teams können Unternehmen mögliche Schwachstellen jetzt frühzeitig erkennen und Entwickler davor bewahren, einen unsicheren Weg einzuschlagen.
2. Sicherheit wird zum Mannschaftssport.
   Wenn Sicherheit in den Softwareentwicklungsprozess integriert wird, fördert dies eine Kultur, in der jeder beginnt, Risiko und Nutzen zu vergleichen. Mit anderen Worten: Sicherheit wird zu einer gemeinsamen Verantwortung. Ingenieure werden sich angewöhnen, eine neue Funktion während der Planungsphase aus der Sicherheitsperspektive zu analysieren. Produktmanager werden die möglichen Auswirkungen einer Änderung der Anwendung auf die Sicherheit fördern und oft sogar ein Gespräch darüber einbeziehen. Wenn mehr Menschen frühzeitig über Sicherheit nachdenken, können Unternehmen standardmäßig sicherere Software ausliefern.
3. Sie werden aktiv nach Automatisierung suchen.
   Ein großer Teil von DevSecOps besteht darin, Sicherheitsautomatisierung zu nutzen, um Geschwindigkeit und kontinuierliche Abdeckung zu erreichen. Die DevOps-Toolchain bietet den perfekten Einstieg in ein stärker automatisiertes Sicherheits-Setup. Wenn Sicherheit als natürliches Nebenprodukt des Entwicklungsworkflows betrachtet wird, möchten Sie natürlich herausfinden, wie Sie es einrichten können, damit jeder Commit auf mögliche Schwachstellen geprüft wird, zusammen mit automatisierten Audits von Drittanbieterbibliotheken. Wunderschön.

DevSecOps bietet noch viele weitere Vorteile, doch zu den wirkungsvollsten Konzepten, die DevSecOps einem Unternehmen bieten kann, zählen die Verbesserung einer positiven Kundenerfahrung, die Förderung einer sicherheitsbewussten Unternehmenskultur und die aktive Förderung der Automatisierung von Sicherheitsaufgaben.

Sicherheitstechnologie für DevOps

Der Weg, Sicherheit näher an den DevOps-Flow zu bringen, kann auf viele Arten beginnen, aber oft beginnt er mit der Einführung neuer Technologien. Diese Technologien sind das Bindeglied zwischen Menschen und Prozessen und unterstützen auch manuelle Sicherheitsüberprüfungen, während sie dem Team Transparenz und Leistungsindikatoren zurückgeben. Ich empfehle Unternehmen oft, die folgenden Technologien als Grundlage für DevSecOps in Betracht zu ziehen:

• Automatisiertes statisches Testen der Anwendungssicherheit (SAST)
• Open Source-Abhängigkeitsüberwachung
• Sicherheit von Laufzeitanwendungen
• Echtzeitwarnungen bei sicherheitsrelevanten Ereignissen mit hohem Schweregrad

Mit diesen vier Säulen können Sie eine grundlegende Basis für DevSecOps schaffen, die den gesamten Lebenszyklus einer App berücksichtigt. Das Auslösen eines statischen Anwendungssicherheitsscans beim Commit von neuem Code ist ein großer Schritt, um häufige Probleme frühzeitig zu erkennen. Die Erweiterung dieses Scans auf die Überprüfung auf bekannte Schwachstellen in Open-Source-Abhängigkeiten ist der natürliche nächste Schritt.

Sobald die Version in die Produktion überführt wird, stellen Sie sicher, dass Sie über aktive Überwachungs- und Blockierungsfunktionen mit ausreichender Berichterstellung verfügen. Idealerweise wird diese Laufzeitüberwachung mit Ihren Echtzeitwarnungen verknüpft, um Personen zu benachrichtigen, die auf die Warnungen reagieren können. Schließlich ist es sehr wünschenswert, dass die richtige Person sofort über ein schwerwiegendes Sicherheitsproblem informiert wird, und zwar eine Konfiguration, die den Fokus auf Ihre Kunden betont.

Was kommt als nächstes?

Die Zukunft von DevSecOps sieht rosig aus und viele Unternehmen investieren in die Einführung einer proaktiven Sicherheit, die sich auf das Kundenerlebnis konzentriert und Datenlecks vorhersieht, anstatt darauf zu reagieren.

Die Vorteile, die DevSecOps diesen Unternehmen bietet, sind zahlreich, darunter Kostensenkung, schnelle Bereitstellung, flächendeckende Einhaltung von Compliance-Vorgaben und die Möglichkeit, ein Sicherheitsdenken zu fördern. Der Abbau von Barrieren zwischen Entwicklung, Sicherheit und Betrieb ist weiterhin ein fortlaufender Prozess, und es entstehen ständig neue Tools, die dabei helfen, dies effektiver zu erreichen.

Im Laufe der Zeit werden wir wahrscheinlich eine engere Integration und Orchestrierung zwischen verschiedenen Sicherheitstools erleben, die in der DevOps-Toolchain nativ sind. Anbieter von Runtime-Sicherheitslösungen nutzen Integrationen mit Slack, PagerDuty und anderen Echtzeit-Benachrichtigungstools, und ich bin davon überzeugt, dass diese Integrationen noch tiefer gehen und es ermöglichen werden, bessere Erkenntnisse schneller an die richtige Person zu übermitteln.

Besuche die PagerDuty – Templarbit-Integration Hier.