Was kommt als Nächstes für DevSecOps?
Aufgrund ihrer Bedeutung in modernen Anwendungsarchitekturen ist der Aufbau sicherer APIs von entscheidender Bedeutung. Die Sicherheit darf nicht vernachlässigt werden und sollte Teil des gesamten Entwicklungslebenszyklus sein. Jährliches Scannen und Penetrationstests sind nicht länger ausreichend.
DevSecOps sollte die Entwicklung begleiten und kontinuierliche Sicherheitstests über den gesamten Lebenszyklus der Softwareentwicklung hinweg durchführen. Ihr Ziel ist es die Entwicklungspipeline durch Sicherheitsautomatisierung zu verbessern, ohne die Geschwindigkeit der Entwicklung zu beeinträchtigen.
Im Zweifelsfall sollten Sie auf dem Laufenden bleiben und das DevSecOps Manifesto lesen.
| Verstehen Sie das Bedrohungsmodell | Testprioritäten ergeben sich aus einem Bedrohungsmodell. Wenn Sie keins haben, können Sie den OWASP Application Security Verification Standard (ASVS) und die OWASP Testing Guide als Grundlage verwenden. Die Einbeziehung des Entwicklungsteams kann helfen, das Sicherheitsbewusstsein zu stärken. |
| Verstehen Sie den SDLC | Nehmen Sie am Entwicklungsteam teil, um den Software Development Life Cycle besser zu verstehen. Ihr Beitrag zu kontinuierlichen Sicherheitstests sollte mit Menschen, Prozessen und Werkzeugen kompatibel sein. Jeder sollte mit dem Prozess einverstanden sein, so dass es keine unnötigen Reibungen oder Widerstände gibt. |
| Teststrategien | Da Ihre Arbeit die Entwicklungsgeschwindigkeit nicht beeinträchtigen sollte, sollten Sie mit Bedacht die beste (einfachste, schnellste, genaueste) Technik zur Überprüfung der Sicherheitsanforderungen wählen. Das OWASP Security Knowledge Framework und der OWASP Application Security Verification Standard können gute Quellen für funktionale und nichtfunktionale Sicherheitsanforderungen sein. Es gibt weitere hervorragende Quellen für Projekte und Tools, ähnlich wie die von der DevSecOps-Community angebotenen. |
| Erreichen von Abdeckung und Genauigkeit | Sie sind die Brücke zwischen den Entwicklern und den Betriebsteams. Um eine gute Abdeckung zu erreichen, sollten Sie sich nicht nur auf die Funktionalität, sondern auch auf die Orchestrierung konzentrieren. Arbeiten Sie von Anfang an eng mit den Entwicklungs- und Betriebsteams zusammen, damit Sie Ihre Zeit und Ihren Aufwand optimieren können. Sie sollten einen Zustand anstreben, in dem die wesentliche Sicherheit kontinuierlich überprüft wird. |
| Klare Kommunikation der gefundenen Schwachstellen | Tragen Sie mit weniger oder gar keinen Reibungsverlusten zur Wertschöpfung bei. Stellen Sie die Ergebnisse zeitnah mit den von den Entwicklungsteams verwendeten Tools bereit (keine PDF-Dateien). Arbeiten Sie mit dem Entwicklungsteam zusammen, um die Schwachstellen zu besprechen. Nutzen Sie die Gelegenheit, sie aufzuklären, indem Sie die Schwachstelle klar beschreiben und erläutern, wie sie missbraucht werden kann, einschließlich eines Angriffsszenarios, um es realistisch zu machen. |