Sicherheitstests für Secure DevOps (SecDevOps)

By Achim D. Brucker.

Eine erfolgreiche Anwendung der DevOps-Strategie erlaubt Organisationen eine deutlich schnellere Auslieferung an den Kunden. Dies ist nur durch einen hohen Grad an Testautomatisierung möglich. Dies gilt nicht nur für die Tests funktionaler Eigenschaften, sondern auch für die Sicherheitstests. Da diese meist nur halbautomatisiert oder gar vollständig manuell erfolgen, stellt die Einführung des DevOps-Modells eine große Herausforderung für die Sicherheitsexperten innerhalb der Softwareentwicklung dar. Zeitgleich bietet das Zusammenwachsen von Entwicklung und Betrieb aber auch eine neue Chance: die flexible Nutzung des Spielraumes zwischen defensiven Entwicklungstechniken sowie dem Reagieren auf Angriffe während des Betriebes. Deswegen ist die Einführung einer DevOps-Strategie für jede Softwareentwicklungsabteilung ein guter Zeitpunkt, die Sicherheitsteststrategie zu überdenken und an die neuen Anforderungen anzupassen.

Keywords:
SecDevOps, Sichere Softwareentwicklung, Secure Development Lifecycle, Sicherheitstests, DevOps, Continous Delivery, Agile Software Entwicklung, Testwerkzeuge, Entwickler, Sicherheitsexperten, DAST, SAST, RASP

Please cite this work as follows:
A. D. Brucker, “Sicherheitstests für secure DevOps (SecDevOps),” OBJEKTspektrum, May 2016, https://www.sigs-datacom.de/uploads/tx_dmjournals/brucker_OTS_DevOps_16.pdf Online Themenspecial DevOps 2016.

BibTeX
@Article{ brucker:secdevops:2016,
  author    = {Achim D. Brucker},
  title     = {Sicherheitstests f{\"u}r Secure {DevOps} {(SecDevOps)}},
  journal   = {OBJEKTspektrum},
  year      = {2016},
  keywords  = {SecDevOps, Sichere Softwareentwicklung, Secure Development
               Lifecycle, Sicherheitstests, DevOps, Continous Delivery, Agile
               Software Entwicklung, Testwerkzeuge, Entwickler,
               Sicherheitsexperten, DAST, SAST, RASP},
  language  = {german},
  month     = {may},
  day       = {31},
  areas     = {software, security},
  publisher = {SIGS DATACOM GmbH},
  address   = {D-53842 Troisdorf, Germany},
  note      = {Online Themenspecial DevOps 2016.},
  abstract  = {Eine erfolgreiche Anwendung der DevOps-Strategie erlaubt
               Organisationen eine deutlich schnellere Auslieferung an den
               Kunden. Dies ist nur durch einen hohen Grad an
               Testautomatisierung m{\"o}glich. Dies gilt nicht nur f{\"u}r
               die Tests funktionaler Eigenschaften, sondern auch f{\"u}r die
               Sicherheitstests. Da diese meist nur halbautomatisiert oder
               gar vollst{\"a}ndig manuell erfolgen, stellt die
               Einf{\"u}hrung des DevOps-Modells eine gro{\ss}e
               Herausforderung f{\"u}r die Sicherheitsexperten innerhalb der
               Softwareentwicklung dar. Zeitgleich bietet das Zusammenwachsen
               von Entwicklung und Betrieb aber auch eine neue Chance: die
               flexible Nutzung des Spielraumes zwischen defensiven
               Entwicklungstechniken sowie dem Reagieren auf Angriffe
               w{\"a}hrend des Betriebes. Deswegen ist die Einf{\"u}hrung
               einer DevOps-Strategie f{\"u}r jede
               Softwareentwicklungsabteilung ein guter Zeitpunkt, die
               Sicherheitsteststrategie zu {\"u}berdenken und an die neuen
               Anforderungen anzupassen.},
  url       = {https://www.sigs-datacom.de/uploads/tx_dmjournals/brucker_OTS_DevOps_16.pdf},
}