Shift-Left: Sicherheit ist ein Teil aller Phasen in der Softwareentwicklung
![](https://www.wisdomtree.eu/-/media/eu-media-files/blog/refresh-images/technology/general-and-multi-thematic/wisdomtree_website_image_shift-left_1151x564px_mar21.jpg?h=564&iar=0&w=1151&sc_lang=de-ch&hash=8A57E2D6FEB89A6A39B5E48FF79537E3)
Das Entwickeln und Verwalten von Software ist agiler und schneller denn je. Sicherheit kann nicht nachträglich erfolgen, sondern es muss eine Linksverschiebung zu den Entwicklern erfolgen, um Sicherheitsaspekte von Anfang an in ein DevSecOps-Modell einzubetten.
Triebkräfte
Die Markteinführungszeit hat häufig Vorrang vor der Sicherheit. Entwickler werden daran gemessen, wie schnell und nicht wie sicher sie codieren können. Und Unternehmensleiter werden daran gemessen, wie schnell sie neue Produkte und Dienstleistungen auf den Markt bringen können. Da keine Zeit für die Behebung von unsicherem Code an der Quelle vorhanden ist, wird die Sicherheit häufig erst dann aktiviert, wenn die Anwendung vollständig entwickelt ist - ein riskanter Ansatz. Infolgedessen führen 42 % der Unternehmen, die einen externen Angriff erlebt haben, den Vorfall auf eine Sicherheitslücke in der Software zurück, und 35 % sahen als Ursache eine fehlerhafte Webanwendung.1 In der heutigen dynamischen Umgebung mit Mikroversionen und täglichen oder wöchentlichen Softwareupdates müssen Softwareentwickler während des gesamten Codierungsprozesses ein Sicherheitsbewusstsein beibehalten und sich auf Kontrollen verlassen, um Sicherheitsproblemen einen Schritt voraus zu sein. Trotzdem war die Migration eines von Entwicklern gesteuerten Sicherheitsparadigmas langsam. Google berichtet, dass nur 20 % der Unternehmen mit DevOps als2„Elite-Performer“ gelten. „Shift-left“ (Linksverschiebung) unterstreicht die Notwendigkeit, dass Sicherheitsteams von Beginn des Entwicklungslebenszyklus an bis zur integrierten Informationssicherheit und Sicherheitsautomatisierung mit Entwicklern zusammenarbeiten. Im Idealfall können Entwickler beim Erstellen eines Produkts oder einer Dienstleistung Sicherheit einbetten. Dabei stehen Tools zur Verfügung, die nicht nur die Sicherheit des Codes erhöhen, sondern auch die Absichten kodifizieren.
Auswirkung - Je weiter die Linksverschiebung erfolgt, desto stärker wird die Sicherheit in den Anwendungsentwicklungsprozess integriert. Um dies zu erreichen, sollten Sicherheitsexperten ihre Codierungsfähigkeiten verbessern, und Entwickler müssen in der Lage sein, unter Berücksichtigung der Sicherheit zu codieren.
Lösungen - Statische Anwendungssicherheitstests (SAST), dynamische Anwendungssicherheitstests (DAST), interaktive Anwendungssicherheitstests (IAST), Software-Zusammensetzungsanalyse (SCA), sicherer Entwicklungslebenszyklus, Entwicklersicherheitstraining, Containersicherheit
Perspektiven:
- Verteidiger-Perspektive - „Eine Möglichkeit, die Geschäftsgeschwindigkeit zu messen, ist die Entwicklergeschwindigkeit. Entwickler fügen Anwendungen ständig neue Funktionen hinzu. Wenn Unternehmen wettbewerbsfähig bleiben möchten, muss sich die moderne Sicherheit mit der Geschwindigkeit des Geschäfts bewegen.“ - Stephen Garcia, VP of Cybersecurity, FanDuel
- Team8’s Angreifer-Perspektive - „Die Linksverschiebung verursacht dem Angreifer mehrere Probleme. Je robuster die Software wird, desto geringer wird die Chance auf null Tage. Anspruchsvolle Angreifer können sich jedoch auch nach links verschieben und zu Beginn des Entwicklungszyklus vor oder nach dem Kompilieren des Quellcodes schädlichen Code oder Hintertüren hinzufügen. Ein Beispiel hierfür ist der Angriff auf das Build-System von SolarWinds. Anstatt auf eine Sicherheitsanfälligkeit zu warten oder diese zu finden, haben Angreifer das System wie ein Codierer geändert und ihre eigene Sicherheitsanfälligkeit erstellt.“
In unserem nächsten Blog werden wir uns mit Smarter Security befassen.
Zudem könnte Sie folgende Lektüre interessieren...
+ Einführung in Cybersecurity, dem Megatrend der 2020er Jahre
+ Cloud-Sicherheit: Eine notwendige Komponente in der digitalen Übergangsplanung
+ Sicherheit der Dinge: Richtig mit der plötzlichen Fülle angeschlossener Geräte umgehen
+ Welt ohne Perimeter: Netzwerke werden immer weniger an physische Standorte gebunden
+ Datenschutz und digitales Vertrauen: 2010 ging es um Datenerfassung; In den 2020er Jahren geht es um
1 https://www.forrester.com/report/The+State+Of+Application+Security+2020/-/E-RES159057
2 https://services.google.com/fh/files/misc/state-of-devops-2019.pdf