Mit „Linksverschiebung“ ist gemeint, dass die Sicherheit früher im Entwicklungsprozess verschoben wird. Wenn man den Prozess der Anwendungsentwicklung mit der Zeit als X-Achse grafisch darstellt, beginnt der Prozess mit der Erkennung eines Bedarfs, den eine Technologie oder ein Dienst erfüllen wird, unabhängig davon, ob es sich um eine Anwendung handelt, die für den Verkauf an zahlende Kunden oder für den internen Gebrauch entwickelt wird. Während die Lösung die Phasen Konzeption, Entwurf, Entwicklung, Bau und Test durchlief, war Sicherheit oft der letzte Schritt vor der Bereitstellung. Die Sicherheit wurde vor der Freigabe für Endbenutzer lediglich um die Außenseite der Anwendung gewickelt. Und dieser Schritt hat zwangsläufig mehr Zeit in Anspruch genommen.
Darüber hinaus führt eine stärkere Integration der Sicherheit während des gesamten Prozesses zu besseren Sicherheitsergebnissen, als wenn man sie erst am Ende anpackt.
Eine Linksverschiebung ist der Weg, diese Probleme zu beheben.
Mit der sofortigen Veröffentlichung von Software gehen auch die unmittelbaren Veröffentlichungen etwaiger Risiken einher.
Der Sechs Säulen von DevSecOps: Automation, herausgegeben von der Cloud-Sicherheit Alliance (CSA), stellt fest: „Sicherheit kann nur erreicht werden, wenn sie konzipiert wurde.“ Die nachträgliche Anwendung von Sicherheitsmaßnahmen ist ein Rezept für eine Katastrophe.
Sicherheitsmaßnahmen müssen denselben automatisierten Pfaden folgen. Eine enge Integration der Sicherheit während des gesamten Entwicklungslebenszyklus kann nicht nur die Zeit bis zur Veröffentlichung verkürzen, sondern auch zu einer verbesserten Sicherheit führen.
Der traditionelle Prozess der Implementierung von Sicherheit nach Abschluss der Entwicklung, aber vor der Veröffentlichung, führte häufig zu Konflikten zwischen Sicherheits- und Entwicklungsteams. Nachdem die Entwicklungsteams ihren Teil der Aufgabe erledigt hatten, versuchten sie, Anwendung in die Hände der Endbenutzer zu legen, um die Ergebnisse ihrer Bemühungen zu liefern, mit dem Sammeln von Feedback zu beginnen und Fristen einzuhalten. Dass die Sicherheitskräfte die Veröffentlichungen bremsten, führte zu kontroversen Beziehungen zwischen den beiden.
Eine von ShiftLeft durchgeführte Umfrage unter mehr als 165 Entwicklern, Anwendungssicherheits- und DevOps-Experten ergab, dass 89 % der Befragten sagten, dass die derzeitige Trennung zwischen Entwicklern und Cybersicherheitsteams das größte Hemmnis für die Produktivität sei.
Durch die Verlagerung der Sicherheit nach links können Teams stattdessen zusammenarbeiten und die Prozesse integrieren, die erforderlich sind, um Apps rechtzeitig und sicher auf die Veröffentlichung vorzubereiten.
Bei einer Verschiebung nach links müssen Änderungen vorgenommen werden, wann, wo und wie bewährte Sicherheitspraktiken angewendet werden. Sicherheit muss Vertrauen bei Entwicklern und DevOps aufbauen. Esist hilfreich, die DevOps-Automatisierungskultur und die Geschwindigkeit zu verstehen,mit der sie Code bereitstellen.
Im Rahmen der Linksverlagerung sollten Sie Entwicklern die Tools zur Verfügung stellen, mit denen sie ihre Arbeit sicher und ohne zusätzlichen Arbeitsaufwand erledigen können. Dazu gehört die Automatisierung der Sicherheit, etwa die Durchführung von Schwachstelle-Scans am Bereitstellungspunkt und die Generierung von Berechtigungen für Lambda-Funktionen.
Während Sicherheit proaktiv sein muss, ist es eine Herausforderung, diese Geschwindigkeit beizubehalten. Sie müssen Kontrolle, Governance und Beobachtbarkeit erlangen. Sicherheitsexperten müssen das Geschäft ermöglichen, anstatt es einzuschränken.
Für Entwickler ist es wichtig, sichere Codierungsmethoden zu verstehen. Dadurch können Entwickler und nicht Sicherheitsanalysten frühzeitig nach Schwachstellen suchen und diese beseitigen.
Marco Rottigni, Chief Technical Security Officer, erklärt gegenüber Computer Business Review: „Entwickler sollten mit Plug-ins ausgestattet werden, die bei jedem Schritt des DevOps-Prozesses Sicherheits- und Compliance-Kontrollen auslösen und die Ergebnisse direkt in den Tools offenlegen, die sie üblicherweise verwenden, um eine schnelle Behebung zu ermöglichen.“ des anfälligen Codes.“
Auch wenn Fortschritte bei der Verlagerung nach links zu verzeichnen sind, reichen diese oft nicht aus. Über 42 % der Befragten der GitLab-Umfrage „Mapping the DevSecOps Landscape 2020“ gaben an, dass Tests zu spät im Lebenszyklus erfolgen.
Ohne Sicherheitsautomatisierung werden DevOps-Teams häufig dadurch behindert, dass sie auf die Genehmigung durch den Menschen warten müssen.
Wie Paul Holland in Computer Weekly schrieb: „CISOs müssen sich darüber im Klaren sein, dass Entwicklern Zeit für die sichere Entwicklung eingeräumt werden sollte und ihre Leistung nicht nur anhand der Zeit zum Erstellen beurteilt werden sollte.“
Es ist unvernünftig, den Entwicklern zusätzliche Aufgaben für die Anwendungssicherheit zu übertragen und von ihnen gleichzeitig ein rasantes Tempo zu erwarten. Während die Verlagerung der Sicherheit nach links zu einem effizienteren Prozess führt und die Markteinführungszeit verkürzen kann, muss dennoch Zeit für Aufgaben wie Sicherheitsaufgaben wie Codeüberprüfungen eingeplant werden.
„ Sicherheitskontrollen können ohne automatisierte Sicherheitsfunktionen, die zeitnahes und aussagekräftiges Feedback ermöglichen, nicht erfolgreich integriert werden . Durch die Einführung selbst bescheidener automatisierter Sicherheitsfunktionen können möglicherweise ganze Risikoklassen eliminiert werden“, sagte Sean Heide, Research Analyst Cloud-Sicherheit Alliance.
Automatisieren Sie die Behebung. Erstellen Sie keine Tickets, um Dinge zu lösen, die automatisiert gelöst werden könnten. Bieten Sie Entwicklern die Möglichkeit, die Sicherheit eines Stacks, den sie bereitstellen möchten, selbst zu bewerten.
Nigel Kersten, Field Chief Technology Officer von Puppet, betonte, wie wichtig es ist, in DevSecOps-Praktiken Automatisierung in großem Maßstab einzusetzen. „Ohne [skalierte Automatisierung] werden Unternehmen am Ende dieselben manuellen Prozesse und dieselben widersprüchlichen Anreize haben. Anstelle von DevSecOps bleiben diesen Unternehmen dann nur noch Dev, Sec und Ops.”
Unterschiedliche Lösungen greifen zu kurz. Insbesondere ist die App-Sicherheit nicht darauf ausgelegt, sich automatisch an App-Änderungen anzupassen. Der große Umfang der meisten Cloud-Infrastrukturen sowie dynamische Umgebungen machen die Sicherheit zu einer besonderen Herausforderung.
Heutige Sicherheitsexperten müssen mehrschichtige Sicherheit in allen Cloud-Umgebungen bereitstellen – mit einem einheitlichen Sicherheitsansatz und einer einheitlichen Richtliniensprache bei allen Ihren Aktivitäten. Check Point bietet einen automatisierten Sicherheitsansatz, der Cloud-skaliert und schnell schützt. Behalten Sie den Überblick über Ihre Konfigurationen mit Haltungsmanagement und präziser Sichtbarkeit Ihrer Anlagen. Sorgen Sie für den Schutz gemäß Best Practices und Ihren eigenen Richtlinien. Überwachen Sie kontinuierlich die gesamte Cloud-Infrastruktur und ergreifen Sie Maßnahmen.