WisdomTree
thematics-4.jpg

Shift-Left: Sicherheit ist ein Teil aller Phasen in der Softwareentwicklung

Veröffentlicht am 18. März 2021

Team8
Team8

Global venture group

Das Entwickeln und Verwalten von Software ist agiler und schneller denn je. Sicherheit kann nicht nachträglich erfolgen, sondern es muss eine Linksverschiebung zu den Entwicklern erfolgen, um Sicherheitsaspekte von Anfang an in ein DevSecOps-Modell einzubetten.

Triebkräfte


Die Markteinführungszeit hat häufig Vorrang vor der Sicherheit. Entwickler werden daran gemessen, wie schnell und nicht wie sicher sie codieren können. Und Unternehmensleiter werden daran gemessen, wie schnell sie neue Produkte und Dienstleistungen auf den Markt bringen können. Da keine Zeit für die Behebung von unsicherem Code an der Quelle vorhanden ist, wird die Sicherheit häufig erst dann aktiviert, wenn die Anwendung vollständig entwickelt ist - ein riskanter Ansatz. Infolgedessen führen 42 % der Unternehmen, die einen externen Angriff erlebt haben, den Vorfall auf eine Sicherheitslücke in der Software zurück, und 35 % sahen als Ursache eine fehlerhafte Webanwendung.1 In der heutigen dynamischen Umgebung mit Mikroversionen und täglichen oder wöchentlichen Softwareupdates müssen Softwareentwickler während des gesamten Codierungsprozesses ein Sicherheitsbewusstsein beibehalten und sich auf Kontrollen verlassen, um Sicherheitsproblemen einen Schritt voraus zu sein. Trotzdem war die Migration eines von Entwicklern gesteuerten Sicherheitsparadigmas langsam. Google berichtet, dass nur 20 % der Unternehmen mit DevOps als2„Elite-Performer“ gelten. „Shift-left“ (Linksverschiebung) unterstreicht die Notwendigkeit, dass Sicherheitsteams von Beginn des Entwicklungslebenszyklus an bis zur integrierten Informationssicherheit und Sicherheitsautomatisierung mit Entwicklern zusammenarbeiten. Im Idealfall können Entwickler beim Erstellen eines Produkts oder einer Dienstleistung Sicherheit einbetten. Dabei stehen Tools zur Verfügung, die nicht nur die Sicherheit des Codes erhöhen, sondern auch die Absichten kodifizieren.

Auswirkung - Je weiter die Linksverschiebung erfolgt, desto stärker wird die Sicherheit in den Anwendungsentwicklungsprozess integriert. Um dies zu erreichen, sollten Sicherheitsexperten ihre Codierungsfähigkeiten verbessern, und Entwickler müssen in der Lage sein, unter Berücksichtigung der Sicherheit zu codieren.

Lösungen - Statische Anwendungssicherheitstests (SAST), dynamische Anwendungssicherheitstests (DAST), interaktive Anwendungssicherheitstests (IAST), Software-Zusammensetzungsanalyse (SCA), sicherer Entwicklungslebenszyklus, Entwicklersicherheitstraining, Containersicherheit

Perspektiven:

  • Verteidiger-Perspektive - „Eine Möglichkeit, die Geschäftsgeschwindigkeit zu messen, ist die Entwicklergeschwindigkeit. Entwickler fügen Anwendungen ständig neue Funktionen hinzu. Wenn Unternehmen wettbewerbsfähig bleiben möchten, muss sich die moderne Sicherheit mit der Geschwindigkeit des Geschäfts bewegen.“ - Stephen Garcia, VP of Cybersecurity, FanDuel

  • Team8’s Angreifer-Perspektive - „Die Linksverschiebung verursacht dem Angreifer mehrere Probleme. Je robuster die Software wird, desto geringer wird die Chance auf null Tage. Anspruchsvolle Angreifer können sich jedoch auch nach links verschieben und zu Beginn des Entwicklungszyklus vor oder nach dem Kompilieren des Quellcodes schädlichen Code oder Hintertüren hinzufügen. Ein Beispiel hierfür ist der Angriff auf das Build-System von SolarWinds. Anstatt auf eine Sicherheitsanfälligkeit zu warten oder diese zu finden, haben Angreifer das System wie ein Codierer geändert und ihre eigene Sicherheitsanfälligkeit erstellt.“

In unserem nächsten Blog werden wir uns mit Smarter Security befassen.

Zudem könnte Sie folgende Lektüre interessieren...

+ Einführung in Cybersecurity, dem Megatrend der 2020er Jahre

+ Cloud-Sicherheit: Eine notwendige Komponente in der digitalen Übergangsplanung

+ Sicherheit der Dinge: Richtig mit der plötzlichen Fülle angeschlossener Geräte umgehen

+ Welt ohne Perimeter: Netzwerke werden immer weniger an physische Standorte gebunden

+ Datenschutz und digitales Vertrauen: 2010 ging es um Datenerfassung; In den 2020er Jahren geht es um

1 https://www.forrester.com/report/The+State+Of+Application+Security+2020/-/E-RES159057

2 https://services.google.com/fh/files/misc/state-of-devops-2019.pdf

Über den Autor

Team8
Team8

Global venture group

Team8 ist eine globale Venture-Gruppe, die Unternehmen gründet und in Unternehmen investiert, die an der Schnittstelle von Cyberspace, Daten, künstlicher Intelligenz und Fintech aktiv sind. Ziel des Modells von Team8 ist es, durch technologische Innovation große Probleme zu erkennen, Lösungen zu erarbeiten sowie Erfolg und Wirkung zu beschleunigen. Ermöglicht wird dies anhand eines internen, multidisziplinären Teams aus Company Buildern unter Einbindung einer engagierten Gemeinschaft aus Führungskräften und Vordenkern. Zum Führungsteam von Team8 zählen Serienunternehmer, Branchenpioniere und die ehemalige Führung der für Technologie und Nachrichtendienst zuständigen israelischen Eliteeinheit 8200.

Best Workspaces - GPTW UK 2024
Best Workspaces for Development - GPTW UK 2024
Best Workspaces for Women - GPTW UK 2024
Best Workspaces in Financial Services & Insurance - GPTW UK 2024
Important Risk Information

Gerichtsbarkeiten im Europäischen Wirtschaftsraum („EWR“): Diese Website und ihre Inhalte wurden von WisdomTree Ireland Limited zur Verfügung gestellt, das von der irischen Zentralbank zugelassen und reguliert wird.

Gerichtsstände außerhalb des EWR: Diese Website und ihre Inhalte wurden von WisdomTree UK Limited zur Verfügung gestellt, die von der Financial Conduct Authority des Vereinigten Königreichs zugelassen und beaufsichtigt werden.

Aktienpreise und der Wert von Investitionen in ETPs können schwanken. Der Investor erhält den investierten Betrag ggf. nicht zurück. Die frühere Wertentwicklung ist kein verlässlicher Indikator für künftige Ergebnisse. Die Informationen stellen keine Prognosen, Erkenntnisse oder Ratschläge hinsichtlich Investitionen und auch keine Empfehlungen, Angebote oder Kauf-/Verkaufsempfehlungen bezüglich Finanzinstrumenten und -produkten bzw. bezüglich einer Investitionsstrategie dar.

Klicken Sie hier, um den vollständigen Disclaimer anzuzeigen.

© 2026 WisdomTree, Inc. All Rights Reserved