Sicherheit für agile Projekte: Web-Security-Tests mit Open-Source-Werkzeugen

Open-Source-Tools helfen, Penetration Tests in automatisierte Build-Pipelines zu integrieren. Das hilft bei agilen Projekten mit kurzen Release-Zyklen.

Artikel verschenken

27.06.2019, 14:00 Uhr

Lesezeit: 20 Min.

iX Magazin

Von

Christian Schneider

Sicherheit für agile Projekte: Web-Security-Tests mit Open-Source-Werkzeugen
Integrationsmöglichkeiten von Werkzeugen
Einbindung von Open-Source-DAST-Werkzeugen
Passiv scannen mit OWASP ZAP
Einbindung von Open-Source-SAST-Werkzeugen

Artikel in iX 7/2019 lesen

Eine der größten Herausforderungen bei der Integration von Sicherheitsüberprüfungen in agilen Projekten besteht in deren häufigen Rollouts. Die Geschwindigkeit, mit der sie Software ausliefern, steht oft im direkten Gegensatz zu den Anforderungen moderner Sicherheitsarchitekturen: Meist gehen Entwickler nur kurz vor der Veröffentlichung oder dem Liveschalten den gravierendsten Sicherheitslücken nach, mit manuellen Code-Reviews und händischen Penetrationstests. Auch Red Team Assessments oder ähnliche Vorgehensweisen zu integrieren, fällt schwer. Unter diesen Umständen wundert es nicht, dass das ganze Thema Security häufig als bremsend oder als Flaschenhals wahrgenommen wird. Dass sich so nicht alle Releases einer ausreichenden Sicherheitsüberprüfung unterziehen lassen, birgt ein nicht zu unterschätzendes Sicherheitsrisiko.

Vor allem die Automatisierung im DevOps-Umfeld half, die schnelle Release-Abfolge agiler Methoden zu erreichen: Möglichst viele Teile der Build-Pipeline inklusive des Testens sollen da automatisiert, skalierbar und reproduzierbar ablaufen. DevSecOps greift diesen Ansatz auf und erweitert ihn um spezialisierte Sicherheitsüberprüfungen in automatisierten Checks. Aber wie bei DevOps kommt es für die Integration von Security in agile Projekte nicht nur auf die Werkzeuge und die richtige Automatisierung an, sondern auch auf organisatorische und teamkulturelle Aspekte. Auch die Verantwortlichkeiten, der Umgang mit Ergebnissen und viele weitere Punkte sind zu klären, was neben prozesstechnischen Aspekten auch organisatorische Themen tangiert. Rein technisch orientierte Maßnahmen verlieren schnell wieder an Wirkung, wenn Kunden oder Product Owner nicht eingebunden sind, beispielsweise rund um Security-Requirements, Security-Sprints oder Budgets. Dieser Artikel konzentriert sich jedoch auf die technischen Aspekte der Integration, auch wenn es damit allein sicher nicht getan ist.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Mathematiker schlussfolgern: Wir leben nicht in einer Simulation

Einer Theorie nach könnte unsere Welt nichts weiter sein als eine Simulation. Mathematiker wollen nun widerlegt haben, dass wir in der Matrix leben.

Dwarf Mini: Leichtes Smart-Teleskop für Astrofotografie unterwegs im Test

Das Dwarf Mini unterschreitet erstmals die 1-kg-Marke bei Smart-Teleskopen. Der Test zeigt, ob es bei der Bildqualität mit größeren Geräten mithalten kann.

Aktienmarkt 2025: Wer Europa bislang ignorierte, hat viel Geld verschenkt

Viele europäische Aktienmärkte haben sich 2025 besser als die US-Schwergewichte Nasdaq 100 und S&P 500 entwickelt. Davon könnten Anleger auch 2026 profitieren.

Was 100 Kilometer mit dem Elektroauto Ende 2025 wirklich kosten

Versicherung, Wartung und mehr: Die Fahrtkosten setzen sich aus vielen Faktoren zusammen. Der Vergleich von zwölf Modellen zeigt, womit Sie rechnen sollten.

Wie Sie die Heizkurve senken und sofort Geld sparen – bei jeder Heizung

Niedrige Vorläufe sind eine Voraussetzung für den effizienten Betrieb einer Wärmepumpe. Sie können aber bei jeder Heizung mit wenigen Handgriffen Geld sparen.

Huawei Pura 80 Ultra: Google-freies Smartphone im Test

Das Pura 80 Ultra hat den Preis eines Luxus-Smartphones, funkt aber nicht über 5G und performt nur auf Mittelklasseniveau. Argumente sammelt es mit der Kamera.