-
IT-Security, DevSecOps, Entwicklung
Nach wie vor integrieren zu wenige Entwickler Sicherheitsmechanismen von Grund auf in ihre Anwendungen, warnen die Sicherheitsexperten von Radware. Hacker können daher zunehmend Schwachstellen in Anwendungen oder APIs ausnutzen, die während des Entwicklungsprozesses übersehen wurden. Nach Untersuchungen von Radware sind DevOps und App-Entwickler sehr offen gegenüber Open Source Code (67%), Microservices (68%) und serverlosen Frameworks (73%), die im Allgemeinen standardmäßig als sicherer empfunden werden. Darüber hinaus werden 70% der Webanwendungen mindestens einmal pro Woche modifiziert. In der Folge versäumt es über die Hälfte der Unternehmen, die Sicherheit in ihre CI/CD-Pipeline(Continuous Integration / Continuous Delivery) zu integrieren. Stattdessen ziehen Entwicklerteams es vor, sich im Nachhinein mit möglichen Schwachstellen und Risiken zu befassen, wenn sie höchstwahrscheinlich längst mit einer anderen Aufgabe beschäftigt sind. Mit anderen Worten: Sicherheit ist nicht in die App integriert, und Sicherheitslücken gerade in APIs fallen während des Entwicklungsprozesses häufig nicht auf.
Eine mögliche Lösung dieses Problems ist laut Radware die Integration von DevSecOps-Ingenieuren in die Entwicklungsteams. Die Aufgabe von DevSecOps besteht darin, eingebettete Sicherheit von unten nach oben aufzubauen, die über rein technologische Lösungen hinausgeht, indem sie die Kluft zwischen den widersprüchlichen Agenden der Anwendungsentwickler und der Sicherheitsverantwortlichen überbrückt. DevSecOps sind normalerweise Anwendungssicherheitsexperten, die als Teil des Anwendungsentwicklungsteams arbeiten, um sicheren Code zu schreiben. Zwei von fünf Organisationen haben nach Umfragen von Radware jedoch noch keinen DevSecOps-Experten eingestellt.
Drei erforderliche Fähigkeiten
Dabei ist die Integration eines DevSecOps-Ingenieurs in das Team ein großer erster Schritt. Ihnen sollten jedoch die Werkzeuge an die Hand gegeben werden, um eine Wirkung zu erzielen – d.h. sichereren Code freizugeben, der auf Schwachstellen gescannt wird, eingebettete Zugangskontrollen hat und sensible Daten schützt mit dem Endziel, tatsächlich sicherere Softwareprodukte zu entwickeln und zu liefern.
Um dieses Ziel zu erreichen, ist mehr erforderlich als nur Wissen über Anwendungssicherheit:
1. Fähigkeiten im Bereich zwischenmenschlicher Beziehungen sind ebenso wichtig wie technische Fähigkeiten, etwa das Schreiben von Code oder die Entwicklung von Software. Hier geht es um Konfliktmanagement und die Fähigkeit, alle – Kollegen wie Vorgesetzte – auf ein gemeinsames Ziel auszurichten und das richtige Gleichgewicht zwischen Produktivität und Sicherheit zu finden.
2. Vertrautheit mit möglichst vielen CI/CD-Tools. Da jedes Team unterschiedliche Tools verwendet und jeder DevOps-Leiter eine andere Architektur für seine CI/CD-Pipeline entwirft, wird nicht jede Sicherheitslösung passen. Wenn sie nicht passt, führt dies zu Unterbrechungen, verlangsamt die Freigabe und macht das Unternehmen verwundbar. Selbst die besten Sicherheitslösungen lassen sich nicht immer nahtlos in die CI/CD-Pipeline integrieren, und DevOps würde normalerweise einer nahtlosen Integration einen höheren Stellenwert beimessen als der Sicherheit. Dies bedeutet, dass der DevSecOps-Ingenieur eine breite Übersicht über Sicherheitswerkzeuge und deren Interoperabilität mit gängigen Technologien verfügen muss, die in verschiedenen Entwicklungsumgebungen eingesetzt werden. Die Fähigkeit, Sicherheitsmaßnahmen schnell in die CI/CD-Pipeline-Prozesse zu integrieren, ist das, worum es bei DevSecOps geht.
3. Expertise im Threat Modeling: Ein Sicherheitshintergrund ist ein guter Anfang, zumal es sich bei DevSecOps in vielen Fällen um Software-Ingenieure handelt, die Sicherheitsverantwortung übernommen haben. Dennoch sind Kenntnisse im Bereich der Bedrohungsmodellierung von entscheidender Bedeutung. Der DevSecOps-Ingenieur geht das Design durch, um Schwachstellen in Komponenten und Datenflüssen zu finden, um später mögliche Bedrohungen abzubilden und schließlich die Sicherheitskontrollen und -lösungen zu priorisieren, die eingesetzt werden sollen.
Der Erfolg von DevSecOps hängt sehr stark von dem Verständnis ab, dass die Rolle nicht nur technischer, sondern auch verfahrenstechnischer Natur ist. Sie sind diejenigen, die integrierte Sicherheit von unten nach oben erleichtern können, um die von oben nach unten gestellten Erwartungen zu erfüllen. Die Einführung von Anwendungen auf der Grundlage eines sichereren Codes wird nicht alle Sicherheitsrisiken lösen, aber zumindest das Vertrauen der Kunden fördern.
Verantwortlicher für diese Pressemitteilung:
Radware GmbH
Herr Michael Tullius
Robert-Bosch-Str. 11a
63225 Langen
Deutschlandfon ..: +49 6103 70657-0
web ..: http://www.radware.com
email : info_de@radware.comPressekontakt:
Prolog Communications GmbH
Herr Achim Heinze
Sendlinger Str. 24
80331 Münchenfon ..: +49 89 800 77-0
web ..: http://www.prolog-pr.com
email : achim.heinze@prolog-pr.comDisclaimer: Diese Pressemitteilung wird für den darin namentlich genannten Verantwortlichen gespeichert. Sie gibt seine Meinung und Tatsachenbehauptungen und nicht unbedingt die des Diensteanbieters wieder. Der Anbieter distanziert sich daher ausdrücklich von den fremden Inhalten und macht sich diese nicht zu eigen.
Bitte beachten Sie, dass für den Inhalt der hier veröffentlichten Meldung nicht der Betreiber von Bloggen-Informieren.de verantwortlich ist, sondern der Verfasser der jeweiligen Meldung selbst. Weitere Infos zur Haftung, Links und Urheberrecht finden Sie in den AGB.
Radware empfiehlt Security by Design durch Integration von DevSecOps in Entwicklerteams
veröffentlicht am 24. Juni 2020 in der Rubrik Presse - News
Content wurde auf Bloggen Informieren 45 x angesehen • Content-ID 65962
Sie wollen diesen Beitrag verlinken? Der Quellcode lautet:
Radware empfiehlt Security by Design durch Integration von DevSecOps in Entwicklerteams
Lesezeit dieser Info ca. 2 Minuten, 42 Sekunden
Info-ID 65962
suchen auf bloggen informieren
News bloggen – Leser informieren
Betreiben Sie Öffentlichkeitsarbeit im Web (online PR). Werdenn Sie Blogger. Berichten Sie was für News es bei Ihnen gibt. Das schafft Traffic auf die eigene Seite. Beitäge vom Portal "Connektar" werden auch auf diesem Portal erscheinen.
neuste Beiträge
- Auch Auto/Kfz-Seiten nehmen mit guten Chancen am „RankensteinSEO“-Wettbewerb teil!
- Cloudbrink-Tool adressiert Performance-Probleme bei hybrider Arbeit
- Weibliche Karrieren im Fokus: Die Essenz des Erfolgs
- Zeit hinter Dir – das neue Lied von Ines-Marie Jaeger
- Eilt: 5,5 Mio. $ Riesendeal – Diesen 288% Cloud AI Hot Stock jetzt kaufen nach 278.417% mit NVIDIA ($NVDA) und 215.872% mit Microsoft ($MSFT)
- Kunterbunter Kindersamstag 2024 in der Wolfsburger Innenstadt
- Kunterbunter Kindersamstag in der Wolfsburger Innenstadt
- NurExone Biologic: Positiver „Buzz“ in Internetforen unterstreicht Performance
- Die Zukunft gestalten: Mit digitaler Transformation zum Erfolg.
- Alset Capital Inc. meldet Unterzeichnung eines zweijährigen KI-Computing-Leasingvertrages im Wert von 5,5 Millionen C$ durch sein Beteiligungsunternehmen Cedarcross Technologies
bloggen informieren – Archiv
erfolgreicher PR-Arbeit – bloggen