Anwendungssicherheit und Softwareentwicklung
Neue Untersuchung bestätigt: App-Entwicklung unter hohem Zeitdruck rückt Sicherheit in den Mittelpunkt
Unternehmen suchen verstärkt nach DevSecOps-Modellen, die darauf abzielen, mehr Verantwortung für Anwendungssicherheit in die Hände der Entwickler selbst zu legen
Patrick Carey, Director Product Marketing bei Synopsys
Sicherheits- und Entwicklungsteams richten sich nach unterschiedlichen und oft miteinander konkurrierenden Metriken. Das Spannungsfeld zwischen kürzeren Release-Zyklen und höheren Sicherheitsrisiken erschwert die Suche nach einer gemeinsamen Basis. Moderne Methoden bei der Anwendungsentwicklung, wie z. B. der Übergang zu Microservices-Architekturen und die Verwendung von Containern, hat die Kluft zwischen den traditionellen Anforderungen an die Anwendungssicherheit und der Realität der Anwendungsentwicklung weiter vergrößert.
Unternehmen suchen verstärkt nach DevSecOps-Modellen, die darauf abzielen, mehr Verantwortung für Anwendungssicherheit in die Hände der Entwickler selbst zu legen (also "shift left" innerhalb des Software-Entwicklungsprozesses). Oft fehlt es diesen aber an einer entsprechenden Ausbildung. Laut einer von Forrester durchgeführten Studie gilt das selbst für die USA. Keines der Top 40 College-Informatikprogramme enthält auch nur ein einziges Kursangebot zu den Themen "Sicheres Programmieren" (Secure Coding) oder "Sicherer Anwendungsentwurf" (Secure Design). Kurzfristig sind hier keine Änderungen zu erwarten, und Firmen kämpfen weiter mit Kompetenzlücken. Nicht unbedingt zufriedenstellend, wenn man bedenkt, dass die zusätzliche Last von Sicherheitsschulungen weitgehend auf den Schultern der jeweiligen Teams ruht.
Eine jüngst von Synopsys bei ESG in Auftrag gegebene Studie untersucht die Dynamik zwischen Entwicklungs- und Cybersicherheitsteams im Hinblick auf Anwendungssicherheit. Befragt wurden 378 Experten für Cybersicherheit mit Technologieverantwortung im Bereich Anwendungssicherheit sowie Softwareentwickler, die mit Sicherheitswerkzeugen und -prozessen direkt zu tun haben. Die Befragten kommen aus unterschiedlichen Branchen wie Fertigung, Finanzdienstleistungen, Bau-/Ingenieurwesen und Dienstleistungen.
Eines der aussagekräftigsten Ergebnisse der Untersuchung: Fast die Hälfte (48 Prozent) der Befragten räumt ein, aufgrund von Zeitdruck wissentlich anfälligen Code für die Produktion freizugeben. Gleichzeitig sind Integrationen, welche die App-Entwicklung unterstützen, wichtig für die Verbesserung von Programmen zur Applikationssicherheit. Das sagen immerhin 43 Prozent der Befragten.
Keine Software-Release wird vermutlich je völlig frei von Schwachstellen sein. Das zu erwarten ist kaum realistisch. Trotzdem sollten Unternehmen sich bemühen, die Sicherheitsrisiken besser zu verstehen und pragmatisch zu priorisieren. Mit den geeigneten Mitteln lassen sich eher risikoreiche Probleme erkennen und angehen sowie eher risikoarme zurückstellen, bis die nötigen Ressourcen zur Behebung frei werden.
Ein Viertel der Befragten ist allerdings der Meinung, dass die aktuell für die Anwendungssicherheit eingesetzten Tools zu Reibungsverlusten führen und die Entwicklungszyklen verlangsamen, während für 23 Prozent die mangelhafte Integration mit Entwicklungs-/DevOps-Tools die gängigste Herausforderung ist. Annähernd ein Drittel (29 Prozent) der Befragten gibt an, dass den Entwicklern im Unternehmen das notwendige Wissen fehlt, um die von App-Sec-Tools aufgedeckten Probleme zu beheben und lediglich 29 Prozent der Entwickler nehmen mindestens einmal pro Jahr an Sicherheitsschulungen teil.
Es gibt allerdings bereits Lösungen, die gerade dieses Spannungsfeld adressieren. Hier stehen IDE-Plugins zur Verfügung, die während des Schreibens auf Sicherheits- und Qualitätsprobleme im Code hinweisen. Einige Lösungen bieten zusätzlich kontextbezogene Anleitungen für gekennzeichnete Schwachstellen. Das hat mehrere Vorteile: Man senkt das Risiko von Schwachstellen schon in einem frühen Stadium des Softwareentwicklungszyklus (und unterstützt so die "Shift-Left"-Mentalität) und man stellt gleichzeitig Schulungsressourcen für die Entwickler bereit. Auf diese Weise lassen sich häufige Fehler besser verstehen und zukünftig vermeiden. Die überwiegende Mehrheit der Entwickler verfügt nicht über ausreichende Erfahrung im Entwickeln von sicherem Code. On-the-job-Ressourcen wie diese schaffen Abhilfe, ohne sich negativ auf die Produktivität auszuwirken.
Für die Zukunft plant über die Hälfte (51 Prozent) der Befragten, im nächsten Jahr die Investitionen in die Applikationssicherheit deutlich zu erhöhen, 44 Prozent planen Anwendungssicherheit für die Cloud. Unabhängig von Branche und Marktsegment entscheiden sich mittlerweile viele Firmen für Cloud/SaaS-Lösungen. Wirtschaftlichkeit und Skalierungsfähigkeit von Cloud-Anwendungen und -Plattformen überwiegen nachweislich die bekannten Risiken. Durch das Auslagern von Infrastruktur- (IaaS), Plattform- (PaaS) und Anwendungsmanagement (SaaS) sind Firmen in der Lage, ihr Kerngeschäft schneller zu digitalisieren und zu skalieren. Dieser Trend erstreckt sich auch auf Tools zur Applikationssicherheit, wie die Studie nachweist.
Aber Unternehmen planen nicht nur Sicherheitsinvestitionen in die Cloud, sondern vor allem in die Konsolidierung. Viele Firmen haben Mühe, die hohe Anzahl der vorhandenen Tools zu integrieren und zu verwalten. Das verringert oftmals die Effektivität der Sicherheitsprogramme, während gleichzeitig unverhältnismäßig viele Ressourcen für deren Verwaltung aufgewendet werden. Angesichts der Tatsache, dass 72 Prozent der Befragten über zehn verschiedene Tools einsetzen, ist Komplexität eines der Hauptprobleme. Aus diesem Grund konzentriert sich mehr als ein Drittel der Befragten bei anstehenden Investitionen auf die Konsolidierung von Sicherheitswerkzeugen.
Die Integration von Lösungen unterschiedlichen Anbietern ist in modernen Entwicklungs- und DevOps-Teams gängige Praxis. Dadurch lässt sich ein eigenes "Ökosystem" von Tools schaffen, die Hand in Hand arbeiten, um unterschiedlichen Belangen und Aufgaben gerecht zu werden. Um Anwendungssicherheit effektiv anzugehen, sollten Teams verschiedene Tools und Techniken kombinieren, wie etwa die statische Analyse (SAST), die Software Composition Analysis (SCA) und dynamische Analysen (DAST). Die Ergebnisse aus diesen Testverfahren zu interpretieren, zu verknüpfen und zu verwalten ist allerdings keine triviale Aufgabe. Insbesondere dann nicht, wenn jede dieser Lösungen von einem anderen Anbieter stammt. Nicht zuletzt deshalb suchen Teams verstärkt nach Lösungen, die verschiedene Analyseformate in einer einheitlichen Tool-Suite kombinieren.
App-Entwicklung und -Design gewinnen weiter an Dynamik. Unternehmen kommen nicht umhin, Sicherheit in diesen Prozess mit einzubeziehen. Dazu gehört es, Entwickler zu unterstützen und die notwendigen Ressourcen bereitzustellen sowie Anwendungssicherheit in den kompletten Lebenszyklus der Anwendungsentwicklung mit einzubeziehen. Tests sollten dabei soweit wie möglich automatisiert werden, um die Konsolidierung der Umgebung voranzutreiben. DevSecOps gehört die Zukunft – das bestätigen auch die Ergebnisse dieser Untersuchung. (Synopsys: ra)
eingetragen: 31.08.20
Newsletterlauf: 29.10.20
Synopsys: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
