Im dritten Teil dieses Praxis-Leitfadens zu Modern Application Development (MAD) dreht sich alles um Application Security (AppSec). Führungskräfte und Experten erfahren, wie sie die Risiken in der Applikationsentwicklung konsequent und nachhaltig minimieren können.
Inhalt:
Digitale Daten und Apps spielen heute in jedem Lebensbereich eine große Rolle. Hohe Nutzerfreundlichkeit, Sicherheit und Zuverlässigkeit sind dabei die wesentlichen Merkmale, die erfolgreiche Software von wenig genutzten und/oder schlecht bewerteten Applikationen unterscheidet. Vor allem aber gilt es, schnell und flexibel auf Marktrends und Innovationen reagieren zu können. Releasezyklen von Monaten oder gar Jahren gehören daher längst der Vergangenheit an, Software wird heute im Wochen-, Tages- oder gar Stundentakt aktualisiert.
Um diese Anforderungen erfüllen zu können, wurde das Paradigma der modernen Software-Entwicklung (Modern Application Development, MAD) konzipiert. Es basiert auf einem modularen Ansatz, der Services und Ressourcen entkoppelt und so Applikationen resilient gegen Ausfälle und Fehler macht.
Während Teil 1 dieses Praxis-Leitfadens für Führungskräfte und Experten eine allgemeine Einführung in MAD bietet und sich Teil 2 detailliert mit den Sicherheitsrisiken beschäftigt, geht es in diesem dritten und letzten Teil darum, wie Sie diese Risiken durch die richtige Application Security (AppSec) Strategie minimieren können.
Die Autoren zeigen Ihnen unter anderem:
- Wie Sie mit unsicherem Code umgehen sollten
- Wie Sie die Awareness für Sicherheitsrisiken erhöhen
- Wie Sie die richtige AST-Lösung (Application Security Testing) für Ihre Zwecke finden.
Originalauszug aus dem Dokument:
Umgang mit unsicherem Anwendungscode im MAD
Von allen Codeelementen in einer modernen Anwendung ist der erste Typ, der einem in den Sinn kommt, der Anwendungscode: der Quellcode, der alle Funktionen enthält, die die Software ausführt. Der Anwendungscode kann in-house entwickelt oder von Dritten übernommen werden (zum Beispiel Open Source). Bei MAD ist Open Source jedoch mit einigen Vorbehalten verbunden.
Open-Source-Code
Es ist leicht zu verstehen, warum Open Source so weit verbreitet ist. Durch den Import von Open Source Libraries, Komponenten und anderen Ressourcen in Anwendungen vermeiden Entwickler, dass sie das Rad neu erfinden müssen. Sie können bereits geschriebenen Code wiederverwenden und haben so mehr Zeit, um innovative Funktionen zu programmieren, die noch nicht existieren.
Open Source hat jedoch auch Nachteile. Um Security- und Compliance-Probleme zu vermeiden, die häufig mit Open Source einhergehen, brauchen Entwickler und Security-Teams volle Transparenz über den Open-Source-Code, den sie verwenden – einschließlich der damit verbundenen Risiken. Daher (und auch mit Blick auf die jüngsten Supply-Chain-Angriffe und neue Gesetzgebung) gewinnt das Konzept einer Software Bill of Materials (SBOM) im Kontext von Open Source verstärkt an Bedeutung.