DevOps hat als Entwicklungs- und Bereitstellungsmodell von Software viele Vorteile und erfreut sich zunehmender Beliebtheit. Die Integration traditioneller Security-Testmethoden stößt jedoch auf Schwierigkeiten. Dieser Leitfaden hilft Ihnen dabei, ein Security-Konzept zu entwickeln, das sich nahtlos in DevOps einfügen lässt.
Inhalt:
Traditionelle Konzepte trennen mehr oder weniger strikt zwischen Softwareentwicklung und -betrieb. Development- und Operations-Abteilung haben kaum Schnittstellen, nach der Abnahme und Übergabe der Software geht die Verantwortung komplett auf das Betriebsteam über.
Mit diesem Silodenken lassen sich jedoch moderne Konzepte wie Continuous Development und Integration (CI/CD) nicht umsetzen. Da Software dabei ständig weiterentwickelt und in kurzen Release-Zyklen veröffentlicht wird, müssen Entwicklung und Betrieb eng in einem DevOps-Team zusammenarbeiten.
Die Transformation zu DevOps wird allerdings häufig durch Sicherheitsbedenken gebremst. Herkömmliche Security-Konzepte und Tools erfordern sehr viel manuelles Eingreifen und sind deshalb für die teil- oder vollautomatisierten Pipelines einer CI/CD-Umgebung nicht geeignet.
Dieser Leitfaden zeigt Ihnen, wie Sie mit den richtigen Tools, Services und Prozessen diese Hürden überwinden.
Sie erfahren unter anderem:
- Welche Application Security Testing Tools es gibt und welche Vor- und Nachteile Sie jeweils haben.
- Wie Sie AST-Lösungen sinnvoll in Ihre DevOps-Umgebung einbetten können.
- Warum Sie in ein AppSec-Awareness-Programm investieren sollten.
Originalauszug aus dem Dokument:
Lösungen für Static Application Security Testing (SAST)
werden verwendet, um unkompilierten Code während der Softwareentwicklung in DevOps-Prozessen inkrementell zu scannen (testen). Der Code befindet sich noch in unkompiliertem Zustand, und mit statischen Tests sollen Fehler wie SQL-Injektion schneller aufgespürt werden. SAST-Lösungen eignen sich hervorragend, um auf Code-Ebene aufzuzeigen, wo und wie Schwachstellen im Quellcode behoben werden können. SAST passt hervorragend zu integrierten Entwicklungsumgebungen (IDEs), Issue-Trackern und Build-Tools zur Unterstützung von CI/CD-Workflows. SAST fügt sich nahtlos in DevOps ein, da es keine nennenswerten Verzögerungen verursacht.
Lösungen für das Interactive Application Security Testing
(IAST) erkennen Konfigurationsfehler im Zuge der etablierten Funktionstest in der Laufzeitumgebung – also vor dem Roll-out der Anwendung. Es wäre unklug, davon auszugehen, dass Anwendungen nach der Entwicklungsphase frei von Schwachstellen sind oder dass Code in laufenden Anwendungen nicht mehr getestet werden muss. IAST erkennt, wie alle Teile einer Anwendung zusammenwirken und zur Laufzeit funktionieren. Dadurch kann es Schwachstellen in laufenden Anwendungen aufdecken, die von Angreifern ausgenutzt werden könnten.