Shift-Left-Sicherheit erkunden

  • 1 Minute

Der Shift-Left-Ansatz wird nicht nur im Hinblick auf Tests empfohlen. Die gleiche Idee erstreckt sich auf das Sicherheitsgebiet. Die Prinzipien von DevSecOps sollen die Bedeutung der Integration von Sicherheit in jede Phase von DevOps (beginnend mit Planung und Entwicklung) vermitteln, in der Art und Weise, die manchmal als kontinuierliche Sicherheit bezeichnet wird. Die in unserem Beispielszenario beschriebene Organisation kennt die Auswirkungen der Ignorieren dieser Prinzipien. Untersuchen Sie in dieser Lektion die Bedeutung des shift-left Ansatz für Sicherheit und die empfohlenen Methoden zur Implementierung.

Was ist Shift-Left-Sicherheit?

Diagramm mit Bestandteilen der Shift-Left-Sicherheit, einschließlich Dev, Ops, SDL und OSA.

Im Kontext der Sicherheit bedeutet Shift-Left, Sicherheitsaktivitäten so früh wie möglich in den Softwarelebenszyklusprozessen einzuführen. Dies beginnt mit der Integration von Sicherheit in das Softwaredesign mithilfe der Bedrohungsmodellierung, um potenzielle zukünftige Bedrohungen zu identifizieren, Risiken zu bewerten und Strategien zur Risikominderung zu definieren. Der Prozess wird während der gesamten Softwareentwicklung fortgesetzt, indem eine Reihe sicherheitsrelevanter Aktivitäten wie Codeüberprüfungen und automatisierte Sicherheitstests implementiert wird. Codeüberprüfungen sollten sicherheitsorientierte Bewertungen umfassen, auf Sicherheitsfehler abzielen, die Einhaltung von Codierungsstandards und potenzielle Sicherheitsrisiken berücksichtigen. Automatisierte Sicherheitstests beinhalten Aufgaben wie statische Anwendungssicherheitstests (Static Application Security Testing, SAST), dynamische Anwendungssicherheitstests (DAST) und Softwarekompositionsanalyse (SCA), die in fortlaufende Integrations-/fortlaufende Bereitstellungspipelinen (CI/CD) integriert sind.

Kontinuierliche Überwachung, die Teil der kontinuierlichen Sicherheit ist, ist ein weiteres Element, das für den Shift-left-Ansatz geeignet ist. Die Implementierung umfasst die Anwendung von Protokollierungs-, Überwachungs- und Vorfallreaktionsmechanismen von Beginn der Entwicklung an.