:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/80/dc/80dc01258b6dda1e7b216323d5796051/0118518397.jpeg "Allesamt Highlights des Abends: Die Gewinnerinnen und Gewinner der Cloud Native Rockstar Awards 2024 gemeinsam mit den Moderatoren und Jury-Mitgliedern. (Bild: Vogel IT / <u><a target="_blank" href="https://www.cloudnativeconference.de/">Cloud Native Conference</a></u>)")
:quality(80)/p7i.vogel.de/wcms/b5/92/b592b98f6fa8f4d5393e7d1f26a9b1ab/0117932513.jpeg "Die Sicherheit der Software-Lieferkette steht vor vielschichtigen Herausforderungen. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/88/af88b8b06a9613b86559b6999ef4ed8a/0118097195.jpeg "Auf der OCX 2024 will die Eclipse Foundation ihre verschiedenen Open-Source-Communities zusammenbringen, (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/8e/b3/8eb34e2abe20465041e396063e8d39b5/0118088468.jpeg "Künstliche Intelligenz kann in Testing und Qualitätssicherung gleich an mehreren Stellen tätig werden. (Bild: sompong_tom - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/59/d859a4bcea4e775772b78767789646e7/0117717484.jpeg "Report eines Testdurchlaufs mit dem Robot Framework. (Bild: Lang / Robot Framework)")
:quality(80)/p7i.vogel.de/wcms/99/39/9939f3b5fdaae42f3bf4ac2465270f2a/0117791750.jpeg "Das Azure-Vision-SDK lädt insbesondere Entwickler und Entwicklerinnen ein, sich mit der Materie zu befassen. (Bild: Drilling / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ee/c5/eec54cec9c7a219a3ed62042db71e084/0118151065.jpeg "Die verbreitetsten und beliebtesten Cloud-Native-Projekte unter Schirmherrschaft der CNCF. (Bild: CNCF)")
:quality(80)/p7i.vogel.de/wcms/f1/9d/f19deb033fc3094112887ccba347e548/0118171860.jpeg "In TypeSpec kommt eine an TypeScript und C# angelehnte Syntax zum Einsatz, ergänzt durch Editor-Tools für Visual Studio und VS Code. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/65/3b/653bccb0f4511868163e35e79ef17efe/0118315737.jpeg "Im Fokus dieses Artikels steht die Verbesserung der Systemsicherheit von Linux und die Optimierung von dessen Security-Funktionen. (Bild: Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/72/2e7289e13f9938285540e96be53cc098/0117654091.jpeg "Nebenläufigkeit, mehr Performance, bessere Fehlerbehandlung: Das für September geplante Upgrade auf Swift 6 verspricht einige Optimierungen. (Bild: <u><a href=https://pixabay.com/users/stocksnap-894430/>StockSnap</a></u>)")
:quality(80)/p7i.vogel.de/wcms/97/dd/97ddc917ccc52db20fcb3cbdebe916f1/0118360337.jpeg "Ablauf des typischen CrashLoopBackOff-Zustands in Kubernetes. (Bild: Groundcover)")
:quality(80)/p7i.vogel.de/wcms/bd/f1/bdf1217cc5885d60e2eac54ad9a69e26/0117073864.jpeg "Die Sicherung der Lieferkette einer „containerisierten“ Anwendung ist ein mehrstufiger Prozess, der sich von der Entwicklung bis hin zur Bereitstellung erstreckt. (Bild: <u><a target="_blank" href=https://pixabay.com/photos/container-ship-cargo-ship-freighter-596083/>46173</a></u>)")
:quality(80)/p7i.vogel.de/wcms/9c/d1/9cd11868f7678b81932032a894bcd81a/0117948576.jpeg "Moderne EdTech-Entwickler und -Designer sollten eine Umgebung schaffen, in der sich alle Lernenden wohlfühlen und einen barrierefreien Zugang zu Wissensinhalten haben. (Bild: <u><a target="_blank" href=https://pixabay.com/users/roszie-6000120/>RosZie</a></u>)")
:quality(80)/p7i.vogel.de/wcms/5b/85/5b853b09ae4f974cb97b58e5cb8e759b/0118249571.jpeg "Je nach „Betätigungsfeld“ muss ein passendes Sprachmodell zum Einsatz kommen, das außerdem gewissen Spielregeln folgt. (© Imagecreator – stock.adobe.com)")
![Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)](https://cdn1.vogel.de/annR7MKBLjg3UGu-x3l6Nvb7-fI=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4e/40/4e40e5356b18ebce4656f2a51e65c815/0116079923.jpeg "Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/be/18/be18ae4c02dbf9aa47e97decf9b84ea4/0118091847.jpeg "Die meisten der existierenden Datenbanksysteme verfügen über SQL-Schnittstellen. (Bild: alphaspirit - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/af/ba/afba059e1e635289905bc63ce8cc4579/0117149678.jpeg "On-Premise bezeichnet den Betrieb von Software auf selbstverwalteten Hardware-Ressourcen. (Bild: <u><a href=https://unsplash.com/de/@tvick>Taylor Vick</a></u>)")
:quality(80)/p7i.vogel.de/wcms/79/8a/798ac0bb2a4e3a384a3c7634dc919ceb/0117709235.jpeg "APIs ermöglichen es verschiedenen Software-Anwendungen, Daten auszutauschen und miteinander zu interagieren, ohne dass Details zu Implementierung bekannt sein müssen. (Bild: <u><a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a></u>)")
:quality(80)/p7i.vogel.de/wcms/ef/83/ef83b21f59d76ece1f76070d93e9bd6b/0116763715.jpeg "Mit der Verbreitung von generativer KI wird die Bedeutung von Software-Bots weiter zunehmen. (Bild: <u><a href=https://pixabay.com/users/alexandra_koch-621802/>Alexandra Koch</a></u>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Sicherheitsstrategien für moderne Anwendungen Eine Roadmap für moderne Anwendungssicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Moderne Anwendungen erleichtern die digitale Transformation, bergen jedoch Sicherheitsrisiken durch ihre Komplexität und Open-Source-Nutzung. Frühe Sicherheitschecks, eine Software Bill of Materials (SBOM) und Observability helfen bei der Früherkennung von Sicherheitsproblemen.
Vor mehr als 10 Jahren schrieb der renommierte Silicon Valley Risikokapitalgeber Marc Andreesen: „Software frisst die Welt“. Damals war diese Aussage leicht zu treffen. Microsoft hatte gerade angekündigt, Skype in einem 8,5 Mrd. Dollar-Deal zu übernehmen, und zu Beginn des Jahres hatte die IBM Watson-KI den heutigen Gastgeber und langjährigen Jeopardy! Champion Ken Jennings geschlagen.
Die Entwicklung der Softwarebranche in den Jahren seit Andreesons Äußerung ist bemerkenswert. Monolithische Software, die auf einem Server vor Ort gehostet wurde, wich benutzerfreundlichen, flexiblen und skalierbaren modernen Anwendungen. Diese modernen Anwendungen, die schnell erstellt und eingesetzt werden können, haben den Unternehmen den Weg zur digitalen Transformation geebnet und macht Mitarbeiter innovativer, effizienter und produktiver. Gleichzeitig erfordern moderne Entwicklungsprozesse wie Microservices, Container und Kubernetes zur Erstellung von Anwendungen die Kompromisse in Sachen Komplexität und Sicherheit.
Mit modernen Anwendungen, die oft dezentral über mehrere Plattformen, Umgebungen und Infrastrukturen verteilt sind, erhöht sich die Angriffsfläche. Diese komplexen, hybriden und Multi-Cloud-Anwendungsumgebungen sind außerdem schwer zu visualisieren. Wenn man nicht weiß, woher ein Problem kommt oder was die Ursache für anomale Aktivitäten ist, ist es viel schwieriger, es zu beheben.
Ein weiterer potenzieller Problembereich ist die Verwendung von Open-Source-Code in modernen Anwendungen – und der kommt fast immer zum Einsatz. Ein Bericht zu Beginn dieses Jahres fand „mindestens eine bekannte Open-Source-Schwachstelle“ in 84 Prozent der kommerziellen Codebasis.
Die Lösung für dieses Problem besteht natürlich nicht darin, zu monolithischer Legacy-Software zurückzukehren. Stattdessen braucht die Branche Lösungen, die eine moderne Anwendungsentwicklung bei hoher Sicherheit erlaubt. Früh in den Entwicklungsprozess integrierte Sicherheitstests, transparent gemachte Komponenten und Abhängigkeiten in jeder Anwendung für Kunden und die Branche und die Transparenz innerhalb der Anwendungsumgebung machen das möglich. Diese drei Schritte können Unternehmen auf den Weg zu sicheren modernen Anwendungen bringen.
Schritt 1: Bauen Sie die Sicherheit mit der Linksverschiebung ein
Bevor ein Ingenieur sich dem Bau eines Autos widmen kann, muss man jedes Teil testen und genehmigen, um sicherzustellen, dass das Auto sicher funktioniert. Dieser Prozess sollte auch bei der Anwendungsentwicklung stattfinden, und zwar durch die sogenannte „Linksverschiebung“ (Shift-Left).
Die Linksverschiebung kann den Entwicklungsprozess verbessern, indem Sicherheitsmaßnahmen früher eingebettet werden. So können DevOps-Teams Schwachstellen bereits während der Anwendungsentwicklung erkennen. Traditionell werden Sicherheitsprüfungen erst nach Abschluss des Builds in der so genannten Testphase durchgeführt. Wenn in dieser Phase ein Problem auftritt, müssen DevOps-Teams schnell arbeiten, um das Problem zu identifizieren und zu beheben, was letztlich den Prozess verlangsamt und eine gründliche Überprüfung der Anwendung verhindert.
DevOps-Teams können den Prozess beschleunigen, indem sie der Sicherheit im Erstellungsprozess Priorität einräumen und sichere, zuverlässige Produkte liefern. Genauso wie der Automobil-Ingenieur nicht mit einem defekten Lenkrad auf der Straße fahren wollen, möchte er sicherstellen, dass jeder Teil der Anwendung ordnungsgemäß und sicher läuft.
Schritt 2: Transparenz und eine Software-Stückliste
In einem Zeitalter unvorhersehbarer Cyberangriffe durch engagierte staatliche Akteure, die neuartige und ausgefeilte Techniken einsetzen, braucht die Branche mehr denn je den Austausch von Informationen. Transparenz in Bezug auf Schwachstellen und Bedrohungen ist entscheidend, um die Sicherheit unserer gemeinsamen Cyberinfrastruktur zu gewährleisten. Viele positive Bemühungen der CISA und anderer Regierungsbehörden haben dazu beigetragen, den Informationsaustausch und die Zusammenarbeit zu verbessern, um das Bewusstsein für Cyberbedrohungen zu schärfen. Es gibt aber noch mehr zu tun.
Aus diesem Grund sollten Anwendungsentwickler ein hohes Maß an Transparenz an den Tag legen, indem sie klar kommunizieren, was in ihren Produkten steckt. Dies kann mit einer Software Bill of Materials (SBOM) geschehen, die im Wesentlichen eine Zutatenliste für jede Komponente einer Anwendung enthält. Wir bei SolarWinds sind stolz darauf, dass wir die Branche mit unserer Forderung, SBOMs zu einem neuen Standard zu machen, anführen und so für mehr Sicherheit in der Branche sorgen.
Eine SBOM ist eine Liste aller Komponenten und Abhängigkeiten, aus denen eine bestimmte Softwareanwendung besteht. Ihr Ziel ist es, Transparenz und Einblick in die Software-Lieferkette zu gewähren, was Entwicklern hilft, Schwachstellen zu erkennen und zu beheben. Das wiederum ermöglicht es Unternehmen, schneller auf Sicherheitsbedrohungen zu reagieren. Wenn beispielsweise eine neue Schwachstelle in einer Open-Source-Bibliothek entdeckt wird, kann eine SBOM dabei helfen, die betroffenen Anwendungen zu identifizieren, sodass die Teams Schritte zur Risikominderung unternehmen können. Auf diese Weise können Unternehmen kostspielige und zeitaufwändige Sicherheitsverletzungen vermeiden, indem sie den Entwicklern helfen, Schwachstellen sowie größere und kleinere Probleme zu erkennen und die Funktionalität des Endprodukts vorherzusagen.
Schritt 3: Mehr Transparenz in komplexen IT-Umgebungen durch Observability
Stellt man sich vor, der Ingenieur hat gerade ein neues Auto fertiggestellt, das sicher ist und gefahren werden kann. Nach einer gewissen Zeit muss das Auto ungeachtet der durchgeführten Tests unweigerlich gewartet werden, und die Kontrollleuchte für den Motor leuchtet auf. Für die meisten von bedeutet dies, dass das Auto zu einem Mechaniker muss, der eine Reihe von Diagnosetests durchführt. Er bestätigt dann das Problem zu bestätigen und kann sagen, wie es behoben werden kann und wie viel es kosten wird. Das ist ein zeitaufwändiger und ineffizienter Prozess.
Stellt man sich stattdessen vor, man hätte eine Motorkontrollanzeige, die über das Problem informiert und Schritt für Schritt erklärt, wie es behoben wird. Diese erhöhte Transparenz und die empfohlenen Abhilfemaßnahmen sind auch für moderne IT-Umgebungen erforderlich, und hier kommt Observability ins Spiel.
Observability kann bei der Anwendungsentwicklung und ‑sicherheit eine entscheidende Rolle spielen, indem es Echtzeittransparenz bietet, um Sicherheitsprobleme zu erkennen und zu beheben. Indem Observability die Zeit bis zur Entdeckung von Sicherheitsproblemen verkürzt, kann sie dazu beitragen, die Sicherheit von benutzerdefinierten Webanwendungen und die Zufriedenheit der Benutzer zu gewährleisten. Durch die Überwachung einer Anwendung in Echtzeit können Teams potenzielle Sicherheitsprobleme erkennen, bevor sie sich zu größeren Problemen auswachsen, und schnell Abhilfemaßnahmen ergreifen.
Warum das wichtig ist
Moderne Anwendungen sind benutzerfreundlich, flexibel und skalierbar. Dies ermöglicht es Unternehmen, die digitale Transformation zu vollziehen und die Produktivität zu verbessern, aber die Komplexität moderner Anwendungen und die Verwendung von Open-Source-Code bedrohen ihre Sicherheit.
Um die Sicherheit moderner Anwendungen zu gewährleisten, müssen Unternehmen einen proaktiven Ansatz verfolgen, indem sie Sicherheitsmaßnahmen früher in den Entwicklungsprozess einbinden, SBOMs nutzen, um Transparenz zu schaffen, und die Sichtbarkeit durch Observability erhöhen. Auf diese Weise können Unternehmen sichere und optimierte Anwendungen erstellen und gleichzeitig die Geschwindigkeit und Innovation der modernen Entwicklung beibehalten.
* Chrystal Taylor ist Senior Technical Product Marketing Manager und Head Geek bei SolarWinds.
(ID:49676464)
:quality(80)/p7i.vogel.de/wcms/b1/e3/b1e3098b0b52ddd8001f939f8ad829ca/0113676942.jpeg "Mit einer SBOM kann die Branche dafür sorgen, dass Hacker keine bösartigen Artefakte in der Software-Supply-Chain platzieren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/dd/8b/dd8bdf45a5452802972c54a0c54d85d6/0111382050.jpeg "Für DevOps-Teams stellt der Übergang zu modernen, Cloud-basierten Anwendungsumgebungen eine große Herausforderung dar. (Bild: <a href=https://pixabay.com/users/williamscreativity-17210051/>WilliamsCreativity</a>)")