Startseite > Security > Keine Zeit für Altlasten

Softwareentwicklung

Keine Zeit für Altlasten

4. Juni 2020, 16:00 Uhr | Autor: Julian Totzek-Hallhuber / Redaktion: Diana Künstler

Fortsetzung des Artikels von Teil 1

Der wachsende “Schuldenberg”

Diese Sicherheitsverschuldung entsteht, wenn Fehler und Schwachstellen in Anwendungen nicht behoben werden, da sich das Team auf aktuellere Auffälligkeiten fokussiert. Je länger diese Fehler unentdeckt oder ungefixt bleiben, desto mehr sinken die Chancen, dass sie jemals behoben werden – bis ihre Ursachen am Ende kaum noch nachzuvollziehen sind. Die Sicherheitsverschuldung nimmt folglich exponentiell zu. Aus den Ergebnissen des SoSS-Reports geht hervor, dass nur bei etwa einem Viertel der Anwendungen solche Schulden abgebaut werden. Bei weiteren 25 Prozent der Anwendungen konnten keine positiven oder negativen Veränderungen beobachtet werden. Im Gegensatz dazu baut die übrige Hälfte der Anwendungen jedoch über die Zeit weitere Schulden auf. Schnelle Fixraten sind daher unerlässlich, damit die Time-to-Market nicht unnötig in die Länge gezogen und das Programm ausreichend sicher ist.

DevSecOps zur Vermeidung und Tilgung
Um gegen die Anhäufung von Sicherheitsschulden vorzugehen, sollten Unternehmen sich zwei Ansätzen annehmen: häufigeres Testen und Fehlerpriorisierung.

Für ersteres hat sich ein DevSecOps-Ansatz bewährt. Dabei handelt es sich um die enge Verbindung und Zusammenarbeit von Entwickler- und Sicherheitsteams, wobei zusätzlich der wichtige Aspekt der Anwendungssicherheit in die Softwareentwicklung mit eingebunden wird. Das Entwickler-Team scannt während des gesamten Entwicklungsprozesses regelmäßig, in Inkrementen die Codes und sucht nach Fehlern. Diese Methode garantiert eine schnellere, effizientere Behebungszeit, da potenzielle Schwachstellen wesentlich schneller aufgespürt werden können.

Um sich erfolgreich auf die Tilgung der Sicherheitsverschuldung mithilfe dieser Methode einstellen zu können, braucht es einschlägige Veränderungen sowohl auf technologischer Seite als auch in der gesamten Unternehmenskultur. Es ist notwendig, dass alle involvierten Abteilungen eng zusammenarbeiten. Darüber hinaus nimmt die Automatisierung bestimmter Prozesse für die erfolgreiche Implementierung von DevSecOps eine wichtige Rolle ein. Dabei können Lösungen zum Beispiel die Testvorgänge automatisiert übernehmen. Das beschleunigt sämtliche Prozesse und steigert die Effizienz.

Darüber hinaus sinkt die Fehlerquote beim Scannen nach Schwachstellen, da eingesetzte Automatisierungstools die Auffälligkeiten offenlegen, die das menschliche Auge vielleicht übersehen würde. So machen sie die Entwickler bereits auf Schwachstellen aufmerksam, die sie noch während des Codens identifizieren. Die Entwickler sind dann in der Lage, die Fehler schnell zu beheben und mit dem Coden fortzufahren.