Dieser Artikel wurde ursprünglich von Dataversity am 23. August 2022 veröffentlicht.
Im ständigen Kampf zwischen geschäftlichem Erfolg und Bedrohungen der Cybersicherheit haben die Unternehmen eine Geheimwaffe entdeckt. Entwickler, einst die Geißel der Sicherheitsteams, werden zu wichtigen Befürwortern einer sicheren software. Durch die Nutzung der Tools von open-source und der Public-Key-Infrastruktur (PKI) bringen viele Entwickler die Datensicherheit bereits in die frühesten Phasen der Entwicklung ein und übernehmen mehr Verantwortung für sicherheitsrelevante Entscheidungen.
Der Bedarf an einer sicheren software war noch nie so groß wie heute. Da Unternehmen mit der Geschwindigkeit der Cloud operieren und ständig neue Anwendungen und Dienste am Netzwerkrand hinzugefügt werden, ist die Angriffsfläche gewachsen. Bedrohungsakteure haben die Möglichkeiten genutzt, die sich durch unsichere software bieten, um den Umfang und die Effektivität ihrer Angriffe zu erhöhen. Viele haben den Schwerpunkt ihrer Angriffe von der Verbreitung von Malware auf die Kompromittierung von Anmeldeinformationen verlagert und nutzen verteilte Netzwerke, um Angriffe auf die Lieferkette zu starten, wie z. B. der SolarWinds-Hack. Darüber hinaus gibt es immer noch den Ansturm von Ransomware, SQL-Injection, DDoS und anderen Angriffen zu bewältigen.
Obwohl einige Unternehmen der Geschwindigkeit der DevOps-Entwicklung und -Bereitstellung immer noch eine höhere Priorität einräumen als der Datensicherheit, betonen immer mehr Unternehmen, dass das Geschäft nur mit einer sicheren software erfolgreich sein kann. Und das beginnt mit sicherem Code. In einer Welt, in der alles miteinander verbunden ist, aber nichts mehr vertrauenswürdig ist, können Entwickler zusammen mit der open-source und der Public-Key-PKI-Community dazu beitragen, ein gewisses Vertrauen in die Integrität von software wiederherzustellen.
Lösung des Problems Geschwindigkeit vs. Sicherheit
DevOps-Teams waren schon immer auf Schnelligkeit ausgelegt. In einem cloudbasierten Geschäftsumfeld, das auf Online- und Mobil-Transaktionen angewiesen ist, ist die Entwicklung von software und die schnellstmögliche Einbindung in die Pipeline für kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD) oft der Schlüssel zur Wettbewerbsfähigkeit und damit zum Erfolg.
Aber dieser Ansatz schafft auch Schwachstellen, da software in Produktion geht, bevor die Datensicherheitsteams etwaige Schwachstellen beheben können. Das in vielen Unternehmen seit langem praktizierte Verfahren, die Sicherheit erst nach dem Entwicklungsprozess - manchmal sogar erst nach der Bereitstellung von software - hinzuzufügen, erweist sich häufig als zu wenig und zu spät.
Es ist nicht so, dass die Vorteile eines sicheren Codes nicht bekannt gewesen wären. Aber unter dem Wettbewerbsdruck in der Geschäftswelt hat die Geschwindigkeit Vorrang. Jetzt aber räumen immer mehr Entwickler ihr Priorität ein. Und sie tun dies mit Hilfe von zwei Dingen, die schon immer ein Bollwerk für Innovation und Sicherheit waren: open-source Entwicklung und PKI. Zusammen können sie dazu beitragen, die Codesicherheit zu verbessern und gleichzeitig den Sicherheitsprozess zu beschleunigen.
Open-source Werkzeuge ermöglichen sichere Entwicklung
Die Gemeinschaft open-source war schon immer ein Vorreiter in Sachen Innovation. Die Bereitstellung des Quellcodes und die Einladung an alle fähigen Entwickler zur Zusammenarbeit - Einsichtnahme, Änderung und Verbesserung des Codes - hat sich als unschätzbar wertvoll für die Schaffung kostengünstiger und hochfunktionaler software erwiesen. Es wurde ausgiebig für alles Mögliche verwendet, von der Testautomatisierung bis hin zu einer breiten Palette beliebter open-source software , wie GNU/Linux, das Android-Betriebssystem, den Mozilla Firefox-Browser und den Apache Web Server.
Die Entwicklung von software in einem open-source Modell hat im Gegensatz zur proprietären Entwicklung, bei der der Quellcode unter Verschluss gehalten wird, auch von einer Art Sicherheit durch Transparenz profitiert. Obwohl open-source software nicht unhackbar ist, ermöglicht die Transparenz des Entwicklungsprozesses den Entwicklern, Fehler leichter zu entdecken und zu korrigieren, wenn sie auftauchen.
Open-source Tools von Gruppen wie dem Open Web Application Security Project (OWASP) und vielen anderen Organisationen werden gemeinsam genutzt, um die Entwicklung sicherer Anwendungen zu unterstützen. Software wie Bouncy Castle - eine schlanke, FIPS-zertifizierte open-source kryptografische API für Java und C# - ermöglicht es Entwicklern beispielsweise, Kryptografie in ihren Anwendungscode zu integrieren.
Es gibt auch open-source Tools, die es Entwicklern ermöglichen, die PKI, die bereits die am häufigsten verwendete Infrastrukturtechnologie für die Datensicherheit ist, mit einem etablierten Satz von Standards bestmöglich zu nutzen.
Wie PKI die sichere Entwicklung beschleunigt
Teams verlassen sich zunehmend auf PKI und Maschinenidentitäten, um Anwendungen sicher zu erstellen, bereitzustellen und auszuführen. PKI, die die Kommunikation durch die Verwendung digitaler Signaturen zur Authentifizierung von Identitäten, software und Geräten sichert, ist ein effektives Tool, um Sicherheit in DevOps zu integrieren. Und eine Reihe von open-source Tools kann diesen Prozess unterstützen.
EJBCAist zum Beispiel eine open-source Zertifizierungsstelle, die Lebenszyklusmanagement bietet. Ansible automatisiert mit leicht verständlichem YAML die Installation und Konfiguration von software, einem Eckpfeiler von DevOps-Umgebungen, die Infrastructure-as-Code verwenden. Ein weiteres Tool, der Jenkins-Automatisierungsserver, kann die Bereitstellung von Zertifikaten und Schlüsseln automatisieren, was dazu beitragen kann, Engpässe in einer CI/CD-Pipeline zu beseitigen.
AppSec- und Ops-Teams verlassen sich auf PKI und Maschinenidentitäten, um die Sicherheit von Anwendungen zu erhöhen. Automatisierungstools können Engpässe im CI/CD-Prozess durch die Automatisierung der Zertifikatsverwaltung beseitigen. Darüber hinaus kann die Automatisierung dabei helfen, das explosionsartige Wachstum von Maschinenidentitäten zu bewältigen. Zu dieser Kategorie gehören vernetzte IoT und mobile Geräte, software-definierte Anwendungen, Cloud-Workloads, virtuelle Maschinen, Container und sogar der auf ihnen laufende Code. Die Zahl der angeschlossenen Geräte im Internet übersteigt die der Menschen um mehr als das Dreifache, und es werden immer mehr. Die Anzahl der beteiligten Zertifikate und Schlüssel ist mit ihnen gewachsen, und Automatisierungstools können bei der Verwaltung dieser Identitäten helfen.
Das Geschäft mit der Cybersicherheit
In der heutigen hochgradig verteilten und vernetzten Umgebung ist die Cybersicherheit eine geschäftliche Entscheidung; sie kann nicht mehr als separate Funktion innerhalb des Unternehmens betrieben werden. Die Lebensfähigkeit eines Unternehmens erfordert Vertrauen, und das beginnt mit sicherem Code.
Die open-source Community bietet DevOps-Teams sofort verfügbare, leicht anpassbare und hoch skalierbare Tools, die eine sichere Entwicklung von Anfang an ermöglichen. Die Verwendung von PKI, Maschinenidentitäten und Automatisierung sorgt für Sicherheit und erhöht die Geschwindigkeit und Effizienz des Prozesses.
Durch die Nutzung von open-source und PKI-Tools spielen Entwickler eine größere - und wesentliche - Rolle beim Aufbau von Sicherheit als Grundlage für moderne Unternehmen. Die Geheimwaffe der Unternehmen war die ganze Zeit da. Jetzt beginnen sie, sie zu nutzen. Endlich müssen Unternehmen nicht mehr den Kompromiss zwischen Geschwindigkeit, Innovation und Sicherheit eingehen.