
Shift-Left: Sicherheit ist ein Teil aller Phasen in der Softwareentwicklung
Veröffentlicht am 18. März 2021
Global venture group
Das Entwickeln und Verwalten von Software ist agiler und schneller denn je. Sicherheit kann nicht nachträglich erfolgen, sondern es muss eine Linksverschiebung zu den Entwicklern erfolgen, um Sicherheitsaspekte von Anfang an in ein DevSecOps-Modell einzubetten.
Triebkräfte
Die Markteinführungszeit hat häufig Vorrang vor der Sicherheit. Entwickler werden daran gemessen, wie schnell und nicht wie sicher sie codieren können. Und Unternehmensleiter werden daran gemessen, wie schnell sie neue Produkte und Dienstleistungen auf den Markt bringen können. Da keine Zeit für die Behebung von unsicherem Code an der Quelle vorhanden ist, wird die Sicherheit häufig erst dann aktiviert, wenn die Anwendung vollständig entwickelt ist - ein riskanter Ansatz. Infolgedessen führen 42 % der Unternehmen, die einen externen Angriff erlebt haben, den Vorfall auf eine Sicherheitslücke in der Software zurück, und 35 % sahen als Ursache eine fehlerhafte Webanwendung.1 In der heutigen dynamischen Umgebung mit Mikroversionen und täglichen oder wöchentlichen Softwareupdates müssen Softwareentwickler während des gesamten Codierungsprozesses ein Sicherheitsbewusstsein beibehalten und sich auf Kontrollen verlassen, um Sicherheitsproblemen einen Schritt voraus zu sein. Trotzdem war die Migration eines von Entwicklern gesteuerten Sicherheitsparadigmas langsam. Google berichtet, dass nur 20 % der Unternehmen mit DevOps als2„Elite-Performer“ gelten. „Shift-left“ (Linksverschiebung) unterstreicht die Notwendigkeit, dass Sicherheitsteams von Beginn des Entwicklungslebenszyklus an bis zur integrierten Informationssicherheit und Sicherheitsautomatisierung mit Entwicklern zusammenarbeiten. Im Idealfall können Entwickler beim Erstellen eines Produkts oder einer Dienstleistung Sicherheit einbetten. Dabei stehen Tools zur Verfügung, die nicht nur die Sicherheit des Codes erhöhen, sondern auch die Absichten kodifizieren.
Auswirkung - Je weiter die Linksverschiebung erfolgt, desto stärker wird die Sicherheit in den Anwendungsentwicklungsprozess integriert. Um dies zu erreichen, sollten Sicherheitsexperten ihre Codierungsfähigkeiten verbessern, und Entwickler müssen in der Lage sein, unter Berücksichtigung der Sicherheit zu codieren.
Lösungen - Statische Anwendungssicherheitstests (SAST), dynamische Anwendungssicherheitstests (DAST), interaktive Anwendungssicherheitstests (IAST), Software-Zusammensetzungsanalyse (SCA), sicherer Entwicklungslebenszyklus, Entwicklersicherheitstraining, Containersicherheit
Perspektiven:
- Verteidiger-Perspektive - „Eine Möglichkeit, die Geschäftsgeschwindigkeit zu messen, ist die Entwicklergeschwindigkeit. Entwickler fügen Anwendungen ständig neue Funktionen hinzu. Wenn Unternehmen wettbewerbsfähig bleiben möchten, muss sich die moderne Sicherheit mit der Geschwindigkeit des Geschäfts bewegen.“ - Stephen Garcia, VP of Cybersecurity, FanDuel
- Team8’s Angreifer-Perspektive - „Die Linksverschiebung verursacht dem Angreifer mehrere Probleme. Je robuster die Software wird, desto geringer wird die Chance auf null Tage. Anspruchsvolle Angreifer können sich jedoch auch nach links verschieben und zu Beginn des Entwicklungszyklus vor oder nach dem Kompilieren des Quellcodes schädlichen Code oder Hintertüren hinzufügen. Ein Beispiel hierfür ist der Angriff auf das Build-System von SolarWinds. Anstatt auf eine Sicherheitsanfälligkeit zu warten oder diese zu finden, haben Angreifer das System wie ein Codierer geändert und ihre eigene Sicherheitsanfälligkeit erstellt.“
In unserem nächsten Blog werden wir uns mit Smarter Security befassen.
Zudem könnte Sie folgende Lektüre interessieren...
+ Einführung in Cybersecurity, dem Megatrend der 2020er Jahre
+ Cloud-Sicherheit: Eine notwendige Komponente in der digitalen Übergangsplanung
+ Sicherheit der Dinge: Richtig mit der plötzlichen Fülle angeschlossener Geräte umgehen
+ Welt ohne Perimeter: Netzwerke werden immer weniger an physische Standorte gebunden
+ Datenschutz und digitales Vertrauen: 2010 ging es um Datenerfassung; In den 2020er Jahren geht es um
1 https://www.forrester.com/report/The+State+Of+Application+Security+2020/-/E-RES159057
2 https://services.google.com/fh/files/misc/state-of-devops-2019.pdf
Kategorien
Über den Autor

Global venture group
Team8 ist eine globale Venture-Gruppe, die Unternehmen gründet und in Unternehmen investiert, die an der Schnittstelle von Cyberspace, Daten, künstlicher Intelligenz und Fintech aktiv sind. Ziel des Modells von Team8 ist es, durch technologische Innovation große Probleme zu erkennen, Lösungen zu erarbeiten sowie Erfolg und Wirkung zu beschleunigen. Ermöglicht wird dies anhand eines internen, multidisziplinären Teams aus Company Buildern unter Einbindung einer engagierten Gemeinschaft aus Führungskräften und Vordenkern. Zum Führungsteam von Team8 zählen Serienunternehmer, Branchenpioniere und die ehemalige Führung der für Technologie und Nachrichtendienst zuständigen israelischen Eliteeinheit 8200.

