:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/65/3b/653bccb0f4511868163e35e79ef17efe/0118315737.jpeg "Im Fokus dieses Artikels steht die Verbesserung der Systemsicherheit von Linux und die Optimierung von dessen Security-Funktionen. (Bild: Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/70/9b701d17f9947da98f7ff66794de1c40/0118171949.jpeg "Aktuell ist es möglich, dass Cyberkriminelle Malware über GitHub verteilen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/90/1b90e93ba52866a4520b86a925993f29/0117406981.jpeg "Durch ein offenes Raumdesign können Beschäftigte leichter miteinander interagieren, Ideen austauschen und eine stärkere Gemeinschaft bilden. (Bild: © – Summit Art Creations – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/36/a636fe064793ade70e7c90d9399a538d/0117657802.jpeg "Apache Nutch lässt sich effektiv mit einer Reihe anderer Open-Source-Lösungen kombinieren, um leistungsfähige und vielseitige Datenverarbeitungssysteme zu schaffen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/98/1b/981b9520fd3ed77b1db64bb37cfc0f81/0117922410.jpeg "Verteilte und lose gekoppelte Anwendungen machen Application-Security-Teams die Arbeit deutlich schwerer. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/db/a0db295ab12eacca549e71cba078357c/0108524470.jpeg "Wer automatisiertes Testing etablieren müsste, sollte die richtige Programmiersprache anhand verschiedener Faktoren ausfindig machen. (© Thapana_Studio - stock.adobe.com)")
![„Ressourcen zum Wissensaufbau [rund um Cloud Native] gibt es erstmal genug. Das wichtigste ist, glaube ich, ein aufrichtiges Interesse und das Wollen“, konstatiert Max Hille im Dev-Metal-Podcast. (Bild: Vogel IT-Medien / Cloudflight)](https://cdn1.vogel.de/wn4z_Ut4eM9FMQWpNr19rQyzndY=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/89/54/89548254b1bad25c375bbe4497bd614e/0118326747.jpeg "„Ressourcen zum Wissensaufbau [rund um Cloud Native] gibt es erstmal genug. Das wichtigste ist, glaube ich, ein aufrichtiges Interesse und das Wollen“, konstatiert Max Hille im Dev-Metal-Podcast. (Bild: Vogel IT-Medien / Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/53/73/5373f7073941b80f759d0ba5af02d122/0118064832.jpeg "Das empfindliche Gleichgewicht zwischen Modellgenauigkeit und Modellleistung ist entscheidend für die Auswahl von KI-Modellen, heißt es im Amazon Blog. (Bild: Amazon)")
:quality(80)/p7i.vogel.de/wcms/5f/f8/5ff8b33a74c400cae216d0256d7e6d85/0117562724.jpeg "Cyber-Bedrohungen entwickeln sich permanent weiter, weshalb Unternehmen beim Einsatz von SaaS-Anwendungen spezielle Sicherheitsstrategien anwenden müssen, um diese Risiken zu mindern. (Bild: lee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/72/2e7289e13f9938285540e96be53cc098/0117654091.jpeg "Nebenläufigkeit, mehr Performance, bessere Fehlerbehandlung: Das für September geplante Upgrade auf Swift 6 verspricht einige Optimierungen. (Bild: <u><a href=https://pixabay.com/users/stocksnap-894430/>StockSnap</a></u>)")
:quality(80)/p7i.vogel.de/wcms/7a/26/7a26ccac018032f39646084535d08b71/0118315576.jpeg "Bei .NET 7-Anwendungen kann es nach dem 14. Mai 2024 zu technischen Schwierigkeiten kommen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/bd/f1/bdf1217cc5885d60e2eac54ad9a69e26/0117073864.jpeg "Die Sicherung der Lieferkette einer „containerisierten“ Anwendung ist ein mehrstufiger Prozess, der sich von der Entwicklung bis hin zur Bereitstellung erstreckt. (Bild: <u><a target="_blank" href=https://pixabay.com/photos/container-ship-cargo-ship-freighter-596083/>46173</a></u>)")
:quality(80)/p7i.vogel.de/wcms/9c/d1/9cd11868f7678b81932032a894bcd81a/0117948576.jpeg "Moderne EdTech-Entwickler und -Designer sollten eine Umgebung schaffen, in der sich alle Lernenden wohlfühlen und einen barrierefreien Zugang zu Wissensinhalten haben. (Bild: <u><a target="_blank" href=https://pixabay.com/users/roszie-6000120/>RosZie</a></u>)")
:quality(80)/p7i.vogel.de/wcms/f7/6d/f76d249a97c8c0a91983ab137df5a078/0117977628.jpeg "Durch die neue EU-Produkthaftungsrichtlinie wird „Software“ erstmals ausdrücklich Gegenstand von verschuldensunabhängiger Haftung. (Bild: finecki - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fb/0e/fb0ec038774b9939f8180f811b62645d/0118117596.jpeg "In vielen IT-Bereichen sind Cross- und Upskilling die bevorzugten Methoden, um für die benötigte Expertise im Unternehmen zu sorgen. (Bild: Linux Foundation)")
:quality(80)/p7i.vogel.de/wcms/1a/0c/1a0c9c9c536e5664ae5d2bb123b89870/0117497971.jpeg "Der deklarative Ansatz von NixOS erlaubt es, standardisierte Maschinen bereitzustellen per Konfigurationsdatei. (Bild: Rentrop / NixOS.org)")
![Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)](https://cdn1.vogel.de/annR7MKBLjg3UGu-x3l6Nvb7-fI=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4e/40/4e40e5356b18ebce4656f2a51e65c815/0116079923.jpeg "Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/be/18/be18ae4c02dbf9aa47e97decf9b84ea4/0118091847.jpeg "Die meisten der existierenden Datenbanksysteme verfügen über SQL-Schnittstellen. (Bild: alphaspirit - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/af/ba/afba059e1e635289905bc63ce8cc4579/0117149678.jpeg "On-Premise bezeichnet den Betrieb von Software auf selbstverwalteten Hardware-Ressourcen. (Bild: <u><a href=https://unsplash.com/de/@tvick>Taylor Vick</a></u>)")
:quality(80)/p7i.vogel.de/wcms/79/8a/798ac0bb2a4e3a384a3c7634dc919ceb/0117709235.jpeg "APIs ermöglichen es verschiedenen Software-Anwendungen, Daten auszutauschen und miteinander zu interagieren, ohne dass Details zu Implementierung bekannt sein müssen. (Bild: <u><a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a></u>)")
:quality(80)/p7i.vogel.de/wcms/ef/83/ef83b21f59d76ece1f76070d93e9bd6b/0116763715.jpeg "Mit der Verbreitung von generativer KI wird die Bedeutung von Software-Bots weiter zunehmen. (Bild: <u><a href=https://pixabay.com/users/alexandra_koch-621802/>Alexandra Koch</a></u>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Mehr Sicherheit für die CI/CD-Pipeline DevSecOps als Vorgabe der Cyberversicherung?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Weil Cyberversicherungen mögliche Bedrohungen nur schwer kalkulieren können, passen sie ihre Konditionen und Anforderungen immer wieder dynamisch an. Auch DevSecOps-Praktiken könnten bald erforderlich sein, betroffene Unternehmen sollten sich daher frühzeitig vorbereiten.
Schnelle, iterative DevOps-Workflows gehen oft mit Sicherheitsrisiken im Zusammenhang mit der Verwaltung von Berechtigungen einher. So ist bei zunehmendem Wettbewerbsdruck rund um eine schnellere Softwarebereitstellung die gemeinsame Nutzung von privilegierten Zugriffen auf sämtliche Container, Server und Anwendungen oder die Verwendung von im Code eingebetteten Klartext-Anmeldeinformationen sehr verlockend.
Hackern spielt das in die Hände. Sicherheitsunternehmen konnten in den letzten Monaten etwa beobachten, dass Cyberkriminelle immer öfter im Code eingebettete Klartext-Anmeldeinformationen, API-Zugangsschlüssel und sensible Konfigurationsdaten für großangelegte Ransomware-Attacken nutzen. Und auch der bekannte Hacker-Angriff auf den IT-Dienstleister Kaseya im Jahr 2021 erfolge über die DevOps-Pipeline.
Warum man sich mit DevSecOps beschäftigen sollte
Vor dem Hintergrund dieser Bedrohungen gewinnt die Integration einer Sicherheitskultur in DevOps-Praktiken immer mehr an Bedeutung – sowohl für die Unternehmen als auch vermehrt für die Versicherer, die sich selbst vor der sich verschärfenden Bedrohungslandschaft und den immer höheren Schadensummen schützen müssen.
DevSecOps bietet hier einen innovativen Ansatz für die Softwareentwicklung, bei dem Sicherheitsprüfungen und -funktionen in allen Phasen des Lebenszyklus einer Software integriert werden. Angefangen von der Entwurfsphase über die Integration, das Testen, die Bereitstellung und die endgültige Auslieferung der Software sorgt DevSecOps dafür, dass die Sicherheit von Anwendungen ein kontinuierlicher und automatisierter Prozess ist. So können DevOps-Praktiken selbst solche Sicherheitsschwachstellen aufdecken, die direkt mit der Verwaltung von Berechtigungen zusammenhängen.
Die Scheu vor DevSecOps
Dass viele Unternehmen das Thema DevSecOps bisher stiefmütterlich behandelt haben, liegt unter anderem daran, dass es sich um eine neue Security-Disziplin handelt, die einzigartige Herausforderungen mit sich bringt. Viele scheuen davor zurück, weil sie eine Beeinträchtigung ihrer agilen Entwicklung und damit eine Minderung ihrer Wettbewerbsfähigkeit befürchten.
Konkret sorgen sie sich, dass die CI/CD-Pipeline, die Code produziert, verlangsamt werden könnte. Da DevSecOps für eine umfassende Sicherheit von Unternehmen jedoch immer wichtiger wird, wird es Zeit, diese Zweifel aus dem Weg zu räumen und Wege zu finden, die Praktiken reibungslos in die bestehende Sicherheitsstrategie zu integrieren.
Warum PAM für DevOps ein guter Anfang ist
Dabei ist wichtig, nichts zu überstürzen oder sofort in neue Technologien zu investieren, sondern Schritt für Schritt vorzugehen und zu priorisieren. Ein sinnvoller Anfang kann sein, erst einmal das eigene Privileged-Access-Management um eine effektive Verwaltung von DevOps-Secrets zu erweitern. Immerhin können privilegierte Zugriffe auf sämtliche Container, Server und Anwendungen erfolgen.
Die Herausforderung dabei ist, schnelle, dynamische DevOps-Zyklen und Robotic Process Automation (RPA) mit den nötigen Sicherheitsrichtlinien in Einklang zu bringen. Moderne PAM-Lösungen können diese Herausforderungen meistern, indem sie ein Secrets-Management in DevOps-Geschwindigkeit bieten – ohne den Entwicklungsprozess zu beeinträchtigen.
- Hochgeschwindigkeits-Tresor: Modernes PAM bietet einen verschlüsselten, zentralen, SaaS-basierten Vault, der den speziellen Anforderungen von DevOps-Teams an Geschwindigkeit und Agilität gerecht wird, und privilegierte Zugangsdaten in nur wenigen Minuten speichert.
- Zentralisierte Geheimnisse: Modernes PAM eliminiert heterogene Vault-Instanzen, erzwingt einen sicheren Zugriff auf Secrets und erstellt ein lückenloses Auditprotokoll, das den Verantwortlichen Einblick in sämtliche privilegierte Aktivitäten gewährt.
- Automatisierung und Skalierung: Modernes PAM bietet eine automatisierte Schnittstelle (CLI und API), die für Geschwindigkeit und Umfang von DevOps-Pipelines und RPA-Implementierungen und -Tools optimal ausgelegt ist.
- Ausstellen von Zertifikaten: Modernes PAM unterstützt das Ausstellen von X.509- und SSH-Zertifikate und deren automatische Signierung und Verteilung.
- Just-in-Time-Zugriffe: Modernes PAM entfernt permanenten Zugang zu Datenbanken wie MySQL, PostgreSQL, Oracle etc. sowie zu Cloud-Plattformen, wie AWS, Azure oder GCP und setzt stattdessen auf sichere Just-in-Time-Zugriffe.
Fazit
Cyberversicherer erwarten von ihren Kunden heutzutage Sicherheitsmaßnahmen, die insbesondere auch das Identitäts- und Zugriffsmanagement abdecken. Setzen Unternehmen irgendeine Art von DevOps-Prozessen ein, empfiehlt es sich daher, PAM-Lösungen zu implementieren, die auch DevOps-Secrets effektiv absichern. Dazu braucht es jedoch Tools, die die Geschwindigkeit und die Agilität unterstützen, die für DevOps-Team-Workloads erforderlich sind.
* Über den Autor
Andreas Müller ist Vice President DACH bei Delinea.
Bildquelle: Delinea
(ID:49749575)
:quality(80)/p7i.vogel.de/wcms/7c/e7/7ce7b01328ade01c622a90c410d771f9/0116874504.jpeg "Secrets-Management und abgesicherte Zugriffe auf Daten „at rest“ sind zwei Möglichkeiten, für mehr Sicherheit in Container-Umgebungen zu sorgen. (©peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/70/df70d70a72a9a93fc662c868f587e1cc/0116198285.jpeg "Die in GitLab 16.8 integrierten DORA-Metriken erlauben einen standardisierten DevOps-Benchmark. (Bild: GitLab)")