Was sind DevSecOps?

Mit DevSecOps können Sie Sicherheitstests früher in den Software Development Lifecycle (SDLC) integrieren. Dies wird allgemein „Linksverschiebung der Sicherheit“ oder „Shift Left“ genannt. Mit DevSecOps kann die Anwendungssicherheit nahtlos zu einem füheren Zeitpunkt in den Software Development Lifecycle integriert werden und nicht erst am Ende, wenn sie durch zu korrigierende Schwachstellen schwieriger und aufwändiger zu implementieren ist.

DevSecOps ist eine Erweiterung von DevOps und wird auch als Secure DevOps bezeichnet. DevOps kann für verschiedene Leute oder Unternehmen etwas anderes bedeuten, umfasst jedoch sowohl kulturelle als auch technische Veränderungen. Idealer Weise ist die Sicherheit eine implizierte Voraussetzung erfolgreicher DevOps.

DevSecOps verlangt die Planung von Anwendungen und Infrastruktur von Anfang an. Die richtigen Tools können dabei helfen, die Ziele fortlaufend integrierter Sicherheit zu erfüllen, u. a. Entscheidungen wie die Auswahl einer integrierten Entwicklungsumgebung (IDE) mit Sicherheitsfunktionen. Die Tools und Prozesse müsse ebenfalls einige Sicherheitskontrollen automatisieren können, damit der DevOps-Workflow nicht verlangsamt wird.

Die Vorteile von DevSecOps

DevSecOps ermöglicht die erweiterte Automatisierung in der gesamten Software-Delivery-Pipeline, um Kodierungsfehler zu eliminieren und schließlich Datenverletzungen  zu vermindern.

Teams, die aus Sicherheitsgründen DevSecOps-Tools und -Prozesse in ihr DevOps-Framework integrieren, können sichere Software schneller freigeben. Entwickler können den Kode für die Sicherheit testen und Sicherheitslücken erkennen, während der Kode geschrieben wird. Teams sollten bestehende Entwicklungstools verwenden können, um den Sicherheitsaspekt der Web-Anwendungsentwicklung zu verbessern.

Was sind die wichtigsten Komponenten von DevSecOps?

DevSecOps-Ansätze können die folgenden wichtigen Komponenten umfassen:

• Anwendungs-/API-Inventarisierung
  • Automatisieren der Erkennung, Profilierung und fortlaufenden Überwachung des Kodes im gesamten Portfolio. Dazu gehört u. U. die Erstellung von Kode in Rechenzentren, virtuelle Umgebungen, private und öffentliche Clouds, Container, Serverless und mehr. Verwenden Sie eine Kombinantion aus automatischer Erkennung und Selbstinventarisierungs-Tools. Erkennungstools helfen Ihnen bei der Erkennung der Anwendungen und APIs, über die Sie bereits verfügen. Self-Reporting-Tools sorgen dafür, dass sich Ihre Anwendungen selbst inventorisieren und ihre Metadaten an eine zentrale Datenbank berichten.
• Benutzerdefinierte Code-Sicherheit
  • Kontinuierliche Überwachung der Software auf Schwächen während der Entwicklung, Prüfung und dem Betrieb. Häufige Bereitstellung von Code, damit Schwächen bei jeder Aktualisierung des Codes schnell erkannt werden.
  • Static Application Security Testing (SAST) scannt die Anwendungsquelldateien, identifiziert die Ursache zuverlässig und korrigiert die zugrunde liegenden Sicherheitslücken.
  • Dynamic Application Security Testing (DAST) simuliert kontrollierte Angriffe auf einer aktiv ausgeführten Webanwendung oder in einem Service, um ausnutzbare Sicherheitslücken in einer aktiven Umgebung zu ermitteln.
  • Interactive Application Security Testing (IAST) bietet eine umfassende Überprüfung durch die Instrumentierung der Anwendung. Dazu werden Agenten und Sensoren eingesetzt, mit denen die Anwendung, ihre Infrastruktur, ihre Abhängigkeiten, der Datenfluss und der gesamte Code kontinuierlich analysiert werden.
• Open Source-Sicherheit
  • Open Source Software (OSS) umfasst oftmals Sicherheitslücken. Daher umfasst ein vollständiger Sicherheitsansatz eine Lösung, die OSS-Bibliotheken verfolgt und Schwächen sowie Lizenzverstöße meldet.
  • Die Software Composition Analysis (SCA) automatisiert die Transparenz in Open Source-Software (OSS), um Risiken zu verwalten sowie die Einhaltung der Sicherheits- und Lizenz-Compliance zu gewährleisten.
• Prävention während des Betriebs
  • Schützen Sie Anwendungen während des Betriebs - so können neue Schwächen entdeckt werden und alte Anwendungen werden nicht länger weiterentwickelt.
  • Protokolle können Sie darüber informieren, welche Art von Angriffsvektoren und Systeme attackiert werden. Die Bedrohungsintelligenz informiert die Bedrohungsmodellierung und Prozesse der Sicherheitsarchitekur.
  • Runtime Application Self-Protection (RASP) instrumentiert Anwendungen, misst Angriffe direkt von innen und verhindert die Ausnutzung von innen.
• Compliance-Überwachung
  • Ermöglicht Auditbereitschaft und die ständige Einhaltung von DSGV, CCPA, PCI usw.
• Kulturelle Faktoren
  • Erkennung von Sicherheits-Profis, Festlegung von Sicherheitstraining für Entwickler usw.

So profitieren Sie von DevSecOps

Schritt 1: Integrieren Sie die Sicherheit in die Software-Anforderungen
Schritt 2: Testen Sie früh, oft und schnell
Schritt 3: Nutzen Sie Integrationen, um Anwendungssicherheit zu einem natürlichen Teil des Lebenszyklus zu machen
Schritt 4: Automatisieren Sie die Sicherheit als Teil von Bereitstellung und Tests
Schritt 5: Überwachung und Schutz nach der Freigabe

Mit Fortify binden Sie die Sicherheit in DevOps ein

• Für Entwickler geeignet
  • Sicherheit in Echtzeit in der IDE der Entwickler mit Fortify Security Assistant: Visual Studio oder Eclipse
  • Einbetten von Sicherheit in die Anwendungsentwicklung und -bereitstellung mit dem Fortify Integration Ecosystem
  • Schulung der Entwickler anhand der Secure Code Warrior-Integration und Micro Focus-Schulungen
• Automatisierung in CI/CD-Pipelines
  • SAST mit Fortify Static Code Analyzer
  • DAST mit Fortify WebInspect
  • RASP mit Fortify Application Defender
  • Software Composition Analysis (SCA) / Open Source Security (OSS) mit Sonatype und Fortify
• Skalieren Sie Ihre Anwendungssicherheit
  • Security-as-a-service mit Fortify on Demand
  • KI-assistiertes Auditing zur Entfernung von falsch-positiven Ergebnissen mit Hilfe von Fortify Audit Assistant
  • Führender Anbieter im Gartner Magic Quadrant für das Application Security Testing