Die Suche nach Sicherheitslücken und deren Behebung kosten Softwareunternehmen und Anwender viel Geld und Zeit. Dieses Whitepaper zeigt mit Security-as-Code einen völlig neuen Ansatz, der Schwachstellen in Applikationen an der Quelle schließt und Security im DevOps-Konzept verankert.
Inhalt:
Mehr als 164.000 Softwareschwachstellen sind aktuell in der CVE-Datenbank (Common Vulnerabilities and Exposures) zu finden. Täglich kommen neue, bisher nicht bekannte hinzu. Im schlimmsten Fall wurden diese „Zero Day Exploits“ bereits von Cyberkriminellen ausgenutzt: Aber auch altbekannte Schwachstellen stellen eine Gefahr dar, denn viele Systeme werden nicht oder nicht schnell genug gepatcht.
Angesichts der zunehmenden Bedrohungen wird es daher immer wichtiger, Sicherheitslücken bei der Applikationsentwicklung möglichst zu vermeiden oder sie zumindest zu erkennen, bevor die Anwendung in den Produktiveinsatz geht.
Wie das gelingen kann, zeigt das vorliegende Whitepaper. Es geht ausführlich auf die Konzepte „Security-as-Code“ und DevSecOps“ ein. Viele praktische Tipps und To-Dos sind in übersichtlichen Listen zu finden und so leicht anzuwenden. Sie erhalten unter anderem Antworten auf folgende Fragen:
- Wie lässt sich Sicherheit als Code in der Praxis umsetzen?
- Welche Rolle spielt Security-as-Code bei der Transformation von DevOps zu DevSecOps?
- Wie lässt sich die Sicherheit in der Anwendungsentwicklung erreichen, ohne dass Markteinführung und Innovationsfähigkeit darunter leiden?
Originalauszug aus dem Dokument:
DAS „EVERYTHING-AS-CODE“-PARADIGMA
Wenn Sie mit Configuration-as-Code und IaC vertraut sind, sind Ihnen Security-as-Code oder Security-by-Design sicher bereits bekannt.
Seit den DevOps-Anfängen ebnet IaC den Weg für Automatisierung und verringert Risiken und Betriebskosten in der Betriebsphase.
1. IaC hilft Ihnen, die Skalierbarkeit der Anwendung in einem Cloud-Ökosystem zu nutzen. Es ermöglicht eine bessere Ausrichtung auf den Lebenszyklus der Anwendung.
2. Configuration-as-Code ist ein weiteres Best Practice, bei dem Sie die Konfiguration der Anwendungsumgebung durch eine Orchestrierungs-API und Skripte beschreiben. Menschliche Einflussgrößen (Fehler) im System werden reduziert und Zeit gespart.
3. Security-as-Code baut nun auf den Vorteilen der beiden oben genannten Konzepte auf, indem die Sicherheit möglichst nah am Quellcode auf einfache, reproduzierbare und automatisierbare Weise implementiert. Wie der Name schon sagt, definieren Sie dabei die Sicherheit in einer einfachen Konfigurationsdatei als Code.