DevSecOpsTill Oberbeckmann3 min Lesezeit

DevOps Security in der Web-Entwicklung

DevOps Security bedeutet, dass in modernen Entwicklungsumgebungen Sicherheitsprozesse nicht nur punktuell, sondern fest in die Softwareentwicklung eingebunden werden. Sicherheitsprozesse dürfen Entwicklungsprozesse nicht blockieren und müssen sich in die bestehenden Toolchains und Umgebungen integrieren.

devops-security-in-web-development.jpeg

Inhaltsverzeichnis

Kontinuierliche Sicherheit

Progressive Entwicklungsumgebungen zeichnen sich vor allem durch extrem kurze Release-Zyklen aus. Wer in solchen Umgebungen nur punktuell und in weiten Zeitabständen konventionelle Penetrationstests, kurz Pentests, durchführt, läuft Gefahr, prozessbedingt schwerwiegende Schwachstellen zu “übersehen”.

“In the past 12 months alone, we had 50M deployments to development, testing, and production hosts.”

Werner Vogels (CTO - Amazon)

In einer hochdynamischen Produktionsumgebungen ist Automatisierung der Schlüssel zum Erfolg. Viele Themen des Entwicklungsprozesses werden schon seit vielen Jahren durch Automatisierungslösungen durchgeführt. Durch unsere Lösungen können nun auch Sicherheitsprozesse Ihrer Softwareentwicklung automatisiert und in moderne Toolchains, CI-Systeme und Bug-Tracking-Plattformen integriert werden.

Trinität der Web-Security

Sicherheit für Web-Anwendungen lässt sich in progressiven Entwicklungsumgebungen durch die folgenden drei Elemente abbilden: Konventionelle Pentests, automatisierte Schwachstellenscans und Bug-Bounty-Programme. Auch wenn konventionelle Pentests heutzutage nicht mehr allein für verlässliche Schwachstellen-Identifikation in Web-Anwendungen genutzt werden können, sind sie trotzdem aus progressiven Sicherheitskonzepten nicht wegzudenken. Durch die Ergebnisse aus den automatischen Schwachstellenscans reduziert sich der Aufwand und gibt den Pentestern mehr Zeit um sich auf identifikationsintensive Schwachstellen zu konzentrieren. Für zusätzliche Funde sollte ein Bug-Bounty-Programm betrieben werden, mit dem Kompetenzen “crowd-sourced” werden.

DevOps-Security-Trinität der Web-Sicherheit

Security-As-A-Service

Wir bieten Ihnen mit unseren Leistungen vollumfängliche integrierte Sicherheitslösungen für Ihren Entwicklungsprozess. Dieser DevOps-Security-Service stellt sicher, dass alle sicherheitsrelevanten und nicht sicherheitsrelevanten Daten allen Stakeholder zugänglich gemacht werden, die mit dem Prozess in Verbindung stehen. Unsere Experten betreuen Sie von der Einrichtung von Scan-Routinen bis zur Auswertung der Ergebnisse und der Implementierung von Gegenmaßnahmen.

Unsere Cloud-Plattform bietet umfangreiche Dashboard-, Reporting und Verwaltungsfunktionen.

Testumfang

Unsere Web-Security-Scanner-Lösung ist in der Lage, Schwachstellen aus allen Kategorien der OWASP Top 10 sowie des OWASP Testing Guides v5 zu identifizieren:

  • Informationssammlung
  • Konfigurationsmanagement
  • Sessionmanagement
  • Fehlerbehandlung
  • Identitätsmanagement
  • Authentifizierung
  • Berechtigungen
  • Eingabevalidierung
  • Kryptographie
  • Geschäftslogik
  • Benutzerseitige Schwachstellen
  • APIs
  • Patchmanagement

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie noch heute ein unverbindliches Gespräch mit einem unserer Produktexperten.