Security ist nicht zuletzt nach Spectre und Meltdown in alle Munde. Für viele Unternehmen und Projekte wird es immer wichtiger und auch notwendig, IT-Security analog zu DevOps zu betrachten.
In meinem Artikel auf heise developer gehe ich auf die notwendigen Schritte und Betrachtungen ausführlich ein.
Bei DevOps geht es nicht nur um Entwicklungs- und Betriebsteams. Wenn Sie die Agilität und Reaktionsfähigkeit eines DevOps-Ansatzes voll ausschöpfen wollen, muss die IT-Sicherheit auch eine integrierte Rolle im gesamten Lebenszyklus Ihrer Anwendungen spielen.
Warum? In der Vergangenheit wurde die Rolle der Sicherheit in der Endphase der Entwicklung auf ein bestimmtes Team beschränkt. Das war nicht so problematisch, wenn die Entwicklungszyklen Monate oder gar Jahre dauerten, aber diese Tage sind vorbei. Effective DevOps gewährleistet schnelle und häufige Entwicklungszyklen (bisweilen Wochen oder Tage), aber veraltete Sicherheitspraktiken können selbst die effizientesten DevOps-Initiativen rückgängig machen.
weiterlesen
Ich hatte auch dieses Jahr wieder das Vergnügen, als Vortragender auf der enterJS sprechen zu dürfen. Mein Talk „Continuous Security auf dem nächsten Level“ (Slides sind online abrufbar) traf den richtigen Nerv, um das Thema Sicherheit von verschieden Ebenen zu beleuchten und ihm so mehr Raum einzuräumen. Dabei gehe ich nicht nur auf methodische Maßnahmen ein, sondern zeige auch technische Hilfsmittel, die an verschiedenen Punkten des Softwareentwicklungsprozesses ansetzen.
Pete Cheslock hat es wunderbar in einem Tweet zusammengefasst:
Es nutzt relativ wenig, Sicherheit erst bei Inbetriebnahme mit Penetrationstests zu adressieren. Vielmehr muss ganzheitlich vorgegangen werden. indem das Thema analog zu DevOps an verschiedenen Stellen berücksichtigt wird. Dabei können einerseits Tools zum CodeScanning wie Sonar oder auch OWASP-Tools wie Zed Attack Proxy (ZAP) genauso helfen, wie andererseits, dass das Scrum-Team schon beim Planning die Sicherheit mit berücksichtigt.
Das Feedback zu meinem Talk und die anschließenden Gespräche zu dem Thema waren sehr positiv und bestärken mich darin, dass dem Thema im agilen Softwareentwicklungszyklus mehr Raum gegeben werden muss.
Gerade vor dem Hintergrund von immer kürzeren Releases (Continuous Delivery und Continuous Integration) wird häufig die Sicherheit vernachlässigt. Durch die Schnelligkeit und Häufigkeit von Deployments steht besonders die IT-Sicherheit vor neuen Herausforderungen und es sind ähnlich wie bei der DevOps-Intitiative weitere Maßnahmen nötig, um die IT-Sicherheit und die Entwicklung enger zu verzahnen. Neben der klassischen Java-Architektur gilt es bei einer solchen Betrachtung auch die gerade aktuell sehr populären JavaScript-Umgebungen miteinzubeziehen. Deren Schnelllebigkeit bringt dabei eine weitere Dimension in die Betrachtung, die aber damit auch eine Chance bietet, wie im Folgenden dargestellt wird.
weiterlesen
In der Ausgabe 1/2017 des JavaSPEKTRUM ist ein Artikel von Holisticon-Mitarbeiter Martin Reinhardt zum Thema Sicherheit in Zeiten von kürzeren Releases: Vor dem Hintergrund immer kürzerer Releases (Continuous Delivery und Integration) wird häufig die Sicherheit vernachlässigt. Penetrationstests sind dabei als Sicherheitsmaßnahmen nicht ausreichend. Durch die Schnelligkeit und Häufigkeit von Deployments steht gerade die IT-Sicherheit vor neuen Herausforderungen, und es sind – ähnlich wie bei der DevOps-Intitiative – weitere Maßnahmen nötig, um die IT-Sicherheit und die Entwicklung enger zu verzahnen. Dabei wird ironischerweise auch vom „Continuous Anonymen“ gesprochen. Neben der klassischen Java-Architektur gilt es bei einer solchen Betrachtung auch, die gerade aktuell sehr populären JavaScript-Umgebungen miteinzubeziehen. Der Artikel zeigt, dass deren Schnelllebigkeit sowohl Gefahren als auch Chancen bietet. Neben Continuous Delivery kann man nämlich auch Continuous Security umsetzen.