Das halbe Internet und die meisten Sicherheitsbehörden sind gerade (zurecht) in Aufruhr versetzt. Der Grund: Eine kritische Sicherheitslücke in einer weit verbreiteten Software-Bibliothek, die ohne großen Aufwand ausnutzbar ist und von der gerade viele nicht wissen, ob sie betroffen sind. Software-Anbieter sind fleißig dabei, Patches zu bauen und auszurollen. Aber was ist mit eigenentwickelter Software? Wir haben ein paar schnelle Checks und Präventivmaßnahmen zusammengetragen.
Ob durch aufdringliche Cookie-Banner beim Surfen oder eine Vielzahl an Formularen, die uns Arztpraxen zwingen auszufüllen — der Datenschutz hat Einzug in unseren Alltag gehalten. Das merken wir nicht nur als Privatpersonen, sondern natürlich auch Unternehmen, die ihre Prozesse umstellen müssen.
On-site, IaaS, PaaS und SaaS – Die Nutzung von Cloud ist in aller Munde und wirkt wie der goldene Hammer: Alles wird zum Nagel und die Lösung lautet stets Cloud. 😉
Das Hacktoberfest ist eine Open-Source-Initiative von Digital Ocean, die Menschen dazu einlädt, einen Beitrag zu Open-Source-Projekten zu leisten. Die Initiative wird von Firmen wie Intel, Appwrite und DeepSource unterstützt. Entwickler*innen können eigene Projekte auf GitHub oder GitLab für die Zusammenarbeit zur Verfügung stellen und/oder über Pull Request selbst zur Verbesserung teilnehmender Projekte beitragen.
Security ist wichtig — es ist aber auch wichtig zu beachten, dass das Thema nicht einfach am Ende „draufgepackt werden“ kann. Gerade bei agil arbeitenden Teams ist es deshalb auch wichtig, das entsprechende Bewusstsein zu etablieren — und zwar am Anfang. Das Prinzip der Automatisierung aus DevOps trägt auch hier: Es gibt viele Tools, die dabei helfen, manuelle Aufgaben zu eliminieren, die z.B. Schwachstellen scannen oder Codeanalysen durchführen. So können veraltete Komponenten auch Bußgelder mit sich bringen.
Bei DevOps geht es nicht nur um Entwicklungs- und Betriebsteams. Wer die Agilität und Reaktionsfähigkeit eines DevOps-Ansatzes voll ausschöpfen will, muss auch der IT-Sicherheit eine integrierte Rolle im gesamten Lebenszyklus Ihrer Anwendungen zugestehen.
In der Vergangenheit wurde die Rolle der Sicherheit in der Endphase der Entwicklung auf ein bestimmtes Team beschränkt. Das war nicht so problematisch, wenn die Entwicklungszyklen Monate oder gar Jahre dauerten, aber diese Tage sind vorbei. DevOps setzt auf schnelle und häufige Entwicklungszyklen (manchmal Wochen oder Tage), aber veraltete Sicherheitspraktiken können selbst die effizientesten DevOps-Initiativen zunichte machen.