Seite 5: Fazit

Inhaltsverzeichnis

Die Integration statischer und dynamischer Anwendungsanalysen in die CI/CD-Pipeline und die damit einhergehende Automatisierung ist heutzutage unerlässlich. Entwickler und Architekten erhalten auf Wunsch nach jedem Code-Commit eine direkte Rückmeldung bezüglich der durchgeführten SAST- und DAST-Analysen. Regelbasierte Build-Jobs können darüber hinaus verhindern, dass unsichere Softwareartefakte in die Produktion gelangen. SAST-Tools wie OWASP Dependency Check, PMD und FindSecurityBugs sind einfach über Gradle Tasks in den CI/CD-Prozess integrierbar.

Aufgrund der vielen unterstützten Angriffsvektoren eignet sich darüber hinaus OWASP ZAP als Pen-Testing-Tool zum Ausführen dynamischer Anwendungsanalysen. Zahlreiche Sicherheitslücken können dadurch bereits während der Entwicklungsphase gefunden werden. Die als Ergebnis zur Verfügung stehenden Reports enthalten eine detaillierte Beschreibung des jeweiligen Angriffsvektors und eine Reihe von Best Practices zur Behebung der Lücken. Somit erhalten Entwickler implizit eine Security Guideline und setzen sich mit dem Thema Anwendungssicherheit bewusst auseinander. Auch die besten SAST- und DAST-Analysen können keine absolut sichere Software garantieren. Jedoch bieten sie neben den regulären Security- und Pen-Tests einen hervorragenden Ansatz, um die eigene Software während der Entwicklung ein Stück sicherer zu machen.

Referenzen

Security DevOps Maturity Model (SDOMM), Christian Schneider

Benjamin Schnarr, Andreas Vetterlein und Shushant Kakkar
sind IT-Consultants bei der Acando GmbH. Neben Kundenprojekten beschäftigen sie sich intensiv mit IT-Security und Secure-Software-Engineering. (bbo)