IT-Management Oktober 2021
Homeoffice - Der neue Dauerbrenner Rechenzentrum der Zukunft - Alleskönner oder kritischer Erfolgsfaktor? DevSecOps - Everything-as-a-coder - Anything secure?
Homeoffice - Der neue Dauerbrenner
Rechenzentrum der Zukunft - Alleskönner oder kritischer Erfolgsfaktor?
DevSecOps - Everything-as-a-coder - Anything secure?
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
26 | <strong>IT</strong> INFRASTRUKTUR<br />
DEVSECOPS PIPELINE<br />
EVERYTHING-AS-CODE – ANYTHING SECURE? QUO VADIS?<br />
Die Softwareentwicklung befindet sich im<br />
Umbruch: Beflügelt durch die digitale<br />
Transformation erscheinen agile Konzepte<br />
und DevOps Ansätze unumgänglich,<br />
um mit den Anforderungen eines sich immer<br />
schneller verändernden Marktumfeldes<br />
Schritt halten zu können. Die aktuelle<br />
Corona-Situation hat diesen Trend in den<br />
letzten Monaten sogar noch verschärft.<br />
Der Druck auf Unternehmen, innerhalb<br />
kürzester Zeit flexible digitale Geschäftsmodelle<br />
voranzutreiben, steigt und wird<br />
zum kritischen Erfolgsfaktor im globalen<br />
Wettbewerb.<br />
Gleichzeitig durchdringt Quellcode zunehmend<br />
etablierte Systemlandschaften<br />
und -architekturen. Der Trend scheint klar:<br />
„Everything is code and code is law“.<br />
Aus großer Macht folgt große<br />
Verantwortung<br />
Mit diesem Bedeutungszuwachs einhergehend<br />
wächst jedoch auch die Verantwortung<br />
von Softwareentwicklern in Hinblick<br />
auf nicht-funktionale (Security-)Anforderungen.<br />
Denn auch die Anzahl von<br />
Cyber-Attacken und Sicherheitsvorfällen<br />
steigt seit Jahren kontinuierlich. Es stellt<br />
sich die Frage, wie gut Entwickler von<br />
heute in Bezug auf die Schaffung der zukunftsfähigen<br />
und sicheren Infrastrukturen<br />
von morgen vorbereitet sind.<br />
Ein guter Indikator hierfür ist das Top 10<br />
Projekt der OWASP Foundation, welches<br />
die kritischsten Schwachstellen in Web<br />
Applikationen in regelmäßigen Abständen<br />
dokumentiert.<br />
Der direkte Vergleich des aktuellen Release<br />
mit der vorherigen Version des<br />
Benchmarks stimmt aus Security Sicht leider<br />
nur bedingt optimistisch:<br />
KR<strong>IT</strong>ISCHE SCHWACHSTELLEN IN WEB APPLIKATIONEN<br />
OWASP Top 10 – 2013 â OWASP Top 10 – 2017<br />
A1 – Injection Ú A1:2017 – Injection<br />
A2 – Fehler in Authentifizierung und<br />
Session Mgmt<br />
Ú<br />
A3 – Cross Site Scripting (XSS)<br />
A4 – Unsichere direkte Objektreferenzen<br />
[mit A7]<br />
à<br />
A5 – Sicherheitsrelevante<br />
Fehlkonfiguration<br />
à<br />
A6 – Verlust der Vertraulichkeit sensibler<br />
Daten<br />
Þ<br />
A7 – Fehlerhafte Autorisierung auf<br />
Anw.- Ebene [mit A4]<br />
A8 – Cross Site Request Forgery (CSRF)<br />
U<br />
U<br />
<br />
A9 – Nutzung von Komponenten mit<br />
bekannten Schwachstellen<br />
Ú<br />
A10 – Ungeprüfte Um- und Weiterleitungen<br />
<br />
A2:2017 – Fehler in der Authentifizierung<br />
A3:2017 – Verlust der Vertraulichkeit<br />
sensibler Daten<br />
A4:2017 – XML External Entities (XXE)<br />
[NEU]<br />
A5:2017 – Fehler in der Zugriffskontrolle<br />
[vereint]<br />
A6:2017 – Sicherheitsrelevante Fehlkonfiguration<br />
A7:2017 – Cross-Site Scripting (XSS)<br />
A8:2017 – Unsichere Deserialisierung<br />
[NEU, Community]<br />
A9:2017 – Nutzung von Komponenten mit<br />
bekannten Schwachstellen<br />
A10:2017 – Unzureichendes Logging<br />
Moniting [NEU, Community]<br />
(Quelle: https://owasp.org/www-pdf-archive/OWASP_Top_10-2017_%28en%29.pdf.pdf<br />
DIE WICHTIGSTEN SCHR<strong>IT</strong>TE ZUM AUFBAU EINER<br />
SICHEREN CI-/CD-PIPELINE SIND UND BLEIBEN DER WISSENS-<br />
AUFBAU IM BEREICH SECUR<strong>IT</strong>Y BEI ALLEN INVOLVIERTEN<br />
SOFTWAREENTWICKLERN SOWIE DIE SENSIBILISIERUNG FÜR<br />
RISIKEN UND SCHWACHSTELLEN.<br />
Jan Sudmeyer, Managing Partner, carmasec GmbH & Co.KG, www.carmasec.com<br />
www.it-daily.net