Schwachstellenmanagement und DevSecOps mit CI/CD

Im Jahr 2018 gaben 90 % der Finanzinstitute an, Ziel von Malware zu sein, und weltweit nahmen Ransomware-Angriffe im selben Jahr um 350 % zu. Im Jahr 2020 meldeten Twitter, die Hotelkette Marriott, MGM Resorts, Zoom und Magellan Health allesamt irgendeine Form von Sicherheitsverletzung [1]. Diese Statistiken zeigen, wie wichtig Sicherheit und Schwachstellenmanagement sind. Unternehmen müssen Sicherheit zu einem Teil ihres Entwicklungsprozesses machen. Lassen Sie uns das aufschlüsseln.

Hohe Akzeptanz von DevOps

Entwicklung ist der Prozess des Schreibens und Wartens von Code. Sie umfasst alle Aktivitäten, die erforderlich sind, um sich Software oder Funktionen auszudenken und sie dann für die vorgesehenen Benutzer in die „reale Welt“ zu bringen. Betrieb oder IT-Betrieb bezieht sich auf die Aktivitäten, die von der IT-Abteilung einer Organisation ausgeführt werden. Die IT-Abteilung definiert, wie die Software und Hardware einer Organisation strukturiert, gewartet und verwaltet werden. Entwicklung erfordert Softwaretools und die richtige Hardware. Daher sind Entwicklung und IT aufeinander angewiesen. DevOps ist ein Ansatz zur Softwareentwicklung, bei dem Entwicklung und Betrieb nicht als zwei getrennte, isolierte Teams, sondern über den gesamten Lebenszyklus einer Anwendung hinweg als ein Team fungieren. Da die Vorteile dieses Ansatzes erkannt sind, verwenden die meisten Organisationen heute ein DevOps-Modell.

Siehe auch: Der Stand der Softwarebereitstellung im Jahr 2020

Die Notwendigkeit von DevSecOps

Ein wichtiger Bereich, der jedoch nicht vom DevOps-Modell abgedeckt wird, ist die Sicherheit, und dies hat zur Notwendigkeit von DevSecOps geführt. Sicherheitslücken können an mehreren Stellen in der DevOps-Pipeline auftreten. Herkömmlicherweise wurde Sicherheit am Ende des Entwicklungslebenszyklus zur Software hinzugefügt, aber so wie sich der Ansatz für Entwicklung und Betrieb zu DevOps weiterentwickelt hat, besteht Bedarf an neuen Ansätzen für das Schwachstellenmanagement. Sicherheit muss Teil der Entwicklung werden. Ein System, das Entwicklung, Betrieb und Sicherheit als kontinuierlichen Prozess berücksichtigt, wird als DevSecOps bezeichnet. Sicherheit ist in alle Phasen der Entwicklungsgestaltung, Integration, Prüfung, Bereitstellung und Auslieferung integriert. DevSecOps ermöglicht es Organisationen, Sicherheitsprobleme anzugehen, sobald sie auftreten. Probleme können angegangen werden, während sie einfacher zu beheben sind, weniger kosten und bevor sie die Produktion erreichen und Schaden anrichten.

In diesem E-Book von CircleCI finden Sie Informationen darüber, wie moderne Entwickler und DevOps-Praktiker CI/CD verwenden können, um einen DevSecOps-Ansatz für das Schwachstellenmanagement zu übernehmen.

Quelle:

1. nd, „2021 Cyber Security Statistics The Ultimate List Of Stats, Data & Trends“, Purplesec [online verfügbar] verfügbar unter: https://purplesec.us/resources/cyber-security-statistics/ [abgerufen im April 2021]