Einsatz der Anwendungssicherheit

Anwendungssicherheit verschiebt sich langsam nach links

Druckfreundlich, PDF & E-Mail

Cybersecurity-Experten mögen die Nachricht begrüßen, dass eine Umfrage unter mehr als 5.500 DevOps-Fachleuten (einschließlich etwa 700 Fachleuten für Anwendungssicherheit) ergeben hat, dass 57 % von ihnen mit gemischten Gefühlen sehen, dass sich die Verantwortung für die Sicherheit entweder bereits auf die Entwickler verlagert hat oder bald verlagern wird.

Die von GitLab, einem Anbieter von Continuous Integration/Continuous Delivery (CI/CD)-Plattformen durchgeführte Umfrage, deutet darauf hin, dass immer mehr Organisationen die besten DevSecOps-Praktiken anwenden und die Entwickler eher bereit sind, neben anderen Aspekten der Verwaltung von Anwendungen auf einer durchgängigen Basis auch für die Cybersecurity verantwortlich zu sein.

Im Allgemeinen ist das eine positive Entwicklung in dem Sinne, dass es einen chronischen Fachkräftemangel im Bereich Cybersecurity gibt. Je mehr Aufgaben von den Anwendungsentwicklungsteams übernommen werden, desto geringer sollte der Druck auf die Cybersecurityteams sein, vor allem wenn mehr Probleme vor der Bereitstellung einer Anwendung behandelt werden. Die National Security Agency (NSA), die Cybersecurity and Infrastructure Security Agency (CISA) und das Office of the Director of National Intelligence (ODNI) haben mit „Securing the Software Supply Chain for Developers" eine Reihe von Best Practices für die Sicherung von Software-Lieferketten veröffentlicht, die auf dem Enduring Security Framework (ESF) basieren, das von einer öffentlich-privaten Arbeitsgruppe unter Leitung der NSA und der CISA entwickelt wurde.

Das heutige Niveau an Cybersecurity-Expertise ist unter Anwendungsentwicklern jedoch bestenfalls begrenzt. Cybersecurity war in den meisten Schulungs- und Ausbildungsprogrammen für Entwickler ein Wahlfach, so dass es nicht überrascht, dass nur wenige von ihnen jemals an einem Kurs über Cybersecurity teilgenommen haben. Die Erwartung, dass die Entwickler in der Lage sein werden, den allgemeinen Stand der Anwendungssicherheit in absehbarer Zeit zu verbessern, muss daher im Hinblick auf die aktuelle Lage realistischerweise gedämpft werden.

Langsam aber sicher werden mehr Security-Funktionen in die von den Entwicklern verwendeten Tools und Plattformen integriert, um die automatische Aufdeckung bekannter Schwachstellen zu erleichtern. Eines der Dinge, die Cybersecurityexperten zur Verzweiflung bringen, sind die gleichen Schwachstellen, die immer wieder ihren Weg in mehrere Anwendungen finden. Es ist fast so, als ob sich die Entwickler beim Erstellen ihrer nächsten Anwendung nicht an bereits in anderen Projekten aufgetretene Cybersecurityprobleme erinnern könnten.

Die gute Nachricht ist, dass sich die Situation verbessert, aber möglicherweise muss in den meisten Organisationen die Finanzierung der Cybersecurity überprüft werden. Cybersecurityteams neigen dazu, Mittel den Plattformen zuzuweisen, die sie direkt kontrollieren. Wenn die Verantwortung für die Anwendungssicherheit wirklich nach links verlagert werden soll, dann müssen Mittel für alles bereitgestellt werden, von Tools zur Sicherung von Laufzeiten bis hin zu Plattformen zur Sicherung von Anwendungsprogrammierschnittstellen (APIs).

In der Zwischenzeit liegt es eindeutig in der Verantwortung der Cybersecurityexperten, einen Weg zu finden, den Entwicklungsteams beizubringen, welche Fehler zu beheben sind, weil dieselben Schwachstellen immer wieder in mehreren Anwendungen auftauchen. Entwickler erstellen normalerweise nicht absichtlich eine unsichere Anwendung. Es ist nur so, dass ohne Tools, Prozesse und Schulungen immer wieder die gleichen Fehler gemacht werden.

Cybersecurity-Fachleute können natürlich Zweifel am Engagement der Entwickler für die Cybersecurity haben, aber das Problem zu ignorieren, führt nur zu dem denkbar schlechtesten Ergebnis.

Nach oben scrollen
Twittern
Teilen
Teilen