10 Tipps für sichere Entwicklungsprozesse in DevOps-Umgebungen
ID: 1711182
Die Checkmarx-Experten verraten, worauf es bei der Absicherung des SDLC ankommt
"Im Zuge von Digitalisierung und IoT haben sich die Entwicklungszyklen für neue Anwendungen immer mehr beschleunigt", erklärt Dr. Jürgen Eitle, Professional Security Architect bei Checkmarx. "Heute liefern Softwareentwickler oft mehrmals am Tag neue Builds ihrer Produkte aus - und nutzen die schnelle Entwicklung als USP, um sich von ihren Konkurrenten abzuheben. Agile DevOps-Umgebungen sind deshalb mittlerweile Standard. Sie bringen aber auch Herausforderungen für die Software-Security mit sich. Gerade mit Blick auf die Digitalisierung zunehmend kritischer Dienste dürfen Unternehmen das Thema Software-Sicherheit nicht auf die leichte Schulter nehmen."
Folgende Punkte sollten Unternehmen bei der Definition sicherer Entwicklungsprozesse (DevSecOps) beachten:
1. Identifizieren Sie Sicherheitslücken so früh wie möglich
Analysieren Sie Ihre Anwendungen bereits im Anfangsstadium der Entwicklung mit statischen Sicherheitstests (SAST), um Fehler möglichst schon im Quellcode zu identifizieren. So lassen sich viele Sicherheitslücken mit minimalem Aufwand schließen, ehe die Software in die Testphase oder live geht.
2. Integrieren Sie Open-Source-Sicherheitstests
Die Einbindung von Open Source Code ist in agilen Entwicklungsumgebungen unerlässlich. Die Entwickler dürfen sich aber nicht darauf verlassen, dass der quelloffene Code auch wirklich sicher ist. Open-Source-Analyse-Lösungen (OSA) weisen die Entwickler während des Programmierprozesses auf Fehler in quelloffenem Code hin und ermöglichen es ihnen, unsichere Elemente zu entfernen oder zu ersetzen.
3. Analysieren Sie auch den kompilierten Code
Um sicherzustellen, dass der kompilierte Code einwandfrei ist, sollten Sie auch interaktive Security-Analysen (IAST) vorsehen. Diese Tests lassen sich automatisiert und effizient in kürzester Zeit im laufenden Betrieb durchführen und helfen Ihnen, Sicherheitslücken in der Schlussphase der Entwicklung zuverlässig zu erkennen.
4. Schulen Sie Ihre Entwickler - während sie entwickeln
Nutzen Sie die Möglichkeiten moderner interaktiver Schulungsplattformen. Heute sind auf dem Markt zahlreiche innovative Analyselösungen verfügbar, die Ihre Entwickler schon während der laufenden Programmierung auf mögliche Fehler hinweisen. So lernt Ihr Team On-the-fly dazu.
5. Decken Sie den gesamten SDLC ab
Führen Sie Ihre Analyse-Werkzeuge in einem durchgängigen Prozess zusammen, der von den ersten Design- und Entwicklungsstufen bis hin zum Go-live reicht - und definieren Sie auch verbindliche Feedback-Zyklen für weiterführende Modifikationen im laufenden Betrieb. So minimieren Sie das Risiko für Ihr Business und stellen Ihren Kunden ein hochwertiges, sicheres Produkt zur Verfügung - ohne die Geschwindigkeit von DevOps zu beeinträchtigen.
6. Stellen Sie Ihre Entwickler in den Mittelpunkt
Binden Sie Ihre Entwickler vom ersten Tag an eng in das Projekt "Software-Security" ein, um sicherzustellen, dass die Lösung akzeptiert und aktiv genutzt wird. Dazu gehört, dass sie sich am Entscheidungsprozess für eine geeignete Plattform beteiligen können, Oberflächen an den Entwicklungsprozess angepasst werden und auch die Optimierung der Security-Plattform in enger Absprache mit den Entwicklern stattfindet.
7. Priorisieren Sie Code-Schwachstellen
Achten Sie bei der Auswahl Ihrer Software-Security-Plattform darauf, dass Schwachstellen nicht nur identifiziert, sondern auch priorisiert werden. So machen Sie es den Entwicklern leicht, die unvermeidlichen False Positives von kritischen Fehlern zu unterscheiden. Korrelieren Sie die Rohergebnisse aus SAST, IAST und OSA mithilfe von Machine-Learning-Algorithmen, um den Entwicklern handlungsrelevante Empfehlungen für die Fehlerbehebung an die Hand zu geben.
8. Binden Sie alle Programmiersprachen und Frameworks ein
Achten Sie darauf, dass Ihre Security-Plattform alle gängigen Programmier- und Skriptsprachen (z. B. Java, C#, JavaScript, TypeScript, PHP, Python) und alle gängigen Entwicklungsumgebungen (z. B. Eclipse, IntelliJ, Visual Studio) unterstützt. So garantieren Sie, dass die Entwickler durchgehend von den Analyselösungen profitieren.
9. Achten Sie auf einfache Administrierbarkeit
Stellen Sie Ihren Verantwortlichen geeignete Orchestrierungswerkzeuge zur Verfügung, die sie jederzeit über die aktuelle Sicherheitslage im Bilde halten, Code-Fehler projektweise darstellen und vollständige, chronologische Reports zu allen KPIs liefern. Integrieren Sie auch intelligente Richtlinienkonzepte für proprietäre Code- und Open-Source-Softwarekomponenten sowie Zugriffsberechtigungen.
10. Automatisieren Sie Ihre Security-Tests
Soll die Software-Security mit der Geschwindigkeit von DevOps Schritt halten, ist die Automatisierung der Analyseprozesse unerlässlich. Nur wenn es Ihnen die Software-Security-Plattform ermöglicht, Test- und Optimierungsprozesse weitgehend automatisch abzuwickeln, können Sie Ihre Entwickler nachhaltig entlasten und Freiräume für innovativere Aufgaben schaffen.
Checkmarx bietet mit der Software Exposure Platform eine der weltweit führenden Software-Security-Lösungen. Das Unternehmen ist mit lokalen Teams in Deutschland und in der Schweiz präsent und hilft Unternehmen dabei, von den Potenzialen der Digitalisierung zu profitieren, ohne Abstriche bei der Sicherheit in Kauf zu nehmen.
Mehr über die Checkmarx Software-Exposure-Plattform erfahren interessierte Leser unter www.checkmarx.comWeitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
checkmarx
devops
sdlc
software
security
iot
devsecops
entwicklung
java
php
typescript
eclipse
intellij
quellcode
open-source
digitalisierung
sicherheit
sast
iast
osa
Unternehmensinformation / Kurzprofil:
Über Checkmarx
Checkmarx, einer der weltweit führenden Anbieter im Bereich Software-Security, ermöglicht es Kunden mit seiner integrierten Software-Exposure-Plattform, die Angriffsfläche ihrer Anwendungen nachhaltig zu minimieren. Das Unternehmen setzt mit seinem innovativen, ganzheitlichen Ansatz an der Schnittstelle von DevOps und Security an, um auch in schnell getakteten DevOps-Umgebungen durchgehend die hohe Sicherheit und Qualität der Software zu gewährleisten, ohne die Entwicklungsprozesse zu stören. Weltweit verwenden mehr als 1.400 Unternehmen die Lösungen von Checkmarx. Checkmarx ist für fünf der zehn weltweit größten Software-Hersteller, vier der zehn größten amerikanischen Banken sowie für zahlreiche Regierungseinrichtungen und Fortune 500 Unternehmen tätig, darunter SAP, Samsung und Salesforce.com. Mehr dazu unter Checkmarx.com.
H zwo B Kommunikations GmbH
Michal Vitkovsky
Neue Straße 7
91088 Bubenreuth
michal.vitkovsky(at)h-zwo-b.de
+49 9131 81281-25
http://www.h-zwo-b.de/
Datum: 03.04.2019 - 15:50 Uhr
Sprache: Deutsch
News-ID 1711182
Anzahl Zeichen: 6635
Kontakt-Informationen:
Ansprechpartner: Dr. Christopher Brennan
Stadt:
Bubenreuth
Telefon: +49 175 2676 264
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 427 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"10 Tipps für sichere Entwicklungsprozesse in DevOps-Umgebungen"
steht unter der journalistisch-redaktionellen Verantwortung von
Checkmarx Ltd. (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
München - 5. Mai 2020 - Checkmarx, einer der weltweit führenden Anbieter von Software-Security-Lösungen für DevOps, gibt bekannt, dass das Unternehmen im Gartner Magic Quadrant for Application Security Testing 2020 im dritten Jahr in Folge als "Leader" eingestuft wurde. Der Report s
Im Homeoffice sicher entwickeln: Checkmarx Codebashing jetzt 45 Tage kostenlos testen ...
Im Zuge der COVID-19-Krise führen Unternehmen weltweit kurzfristig Homeoffice-Modelle ein. Die Umstellung gestaltet sich aber oft alles andere als einfach: sei es, weil die Produktivität leidet, weil etablierte Workflows nicht funktionieren oder weil die Einhaltung der Cybersecurity-Standards nich
Checkmarx ist AWS Sicherheitskompetenz-Partner ...
München, 16. Oktober 2019 - Checkmarx, einer der weltweit führenden Anbieter im Bereich Software-Security für DevOps, wurde als Amazon Web Services Sicherheitskompetenz-Partner zertifiziert. Die neue Qualifizierung dokumentiert, dass Checkmarx über die Technologien und das Knowhow verfügt, um K
Weitere Mitteilungen von Checkmarx Ltd.
Die Twitchcon kommt nach Berlin - und Caseking ist dabei! ...
Als Online-Shop für Computer-Freaks, PC-Gamer und Anwender, die mehr wollen als nur Standardware, darf Caseking auf der erstmals in Europa stattfindenden Twitchcon natürlich nicht fehlen. Am 13. und 14. April können am Caseking-Stand im CityCube der Messe Berlin eindrucksvolle Gaming-PCs, hochwer
Erweiterter Mailbox- und Endpoint-Schutz mit Sophos E-Mail ...
Die E-Mail ist eines der Haupteinfallstore für Malware. Rund 93 Prozent der Sicherheitsverletzungen in Unternehmen starten mit einer Phishing-E-Mail. Zwar gibt es eindeutige Symptome für eine kompromittierte Mailbox, diese werden von Benutzern jedoch oft nicht bemerkt. Beispielsweise fehlende oder
Neue Partnerschaft mit Threat Intelligence-Experte Recorded Future ...
InfoGuard baut sein Portfolio aus und schliesst eine Partnerschaft mit Recorded Future. Die Plattform von Recorded Future vereint verschiedene moderne und bewährte Technologien, um mit Threat Intelligence eine proaktive Sicherheitsstrategie umsetzen zu können. Das US-Amerikanische Technologie-Unte
Industrie 4.0 verschiebt die Netzwerkgrenzen; Unternehmen anfälliger für Datenabfluss und Cyberattacken ...
Auf der Hannover Messe werden die Messebesucher wieder zahlreiche spannende vernetzte, mit dem Internet verbundene Maschinen und Geräte bestaunen können. Die Buzzwords dazu lauten IoT und IIoT. Stefan Mennecke, Regional Director Central & Southern Europe bei SOTI, weist darauf hin, dass si
