DevOps

Es wird Zeit sich auf die Sicherheit der Software-Lieferkette zu konzentrieren

Es wird Zeit sich auf die Sicherheit der Software-Lieferkette zu konzentrieren

Auch in der DevSecOps-Community ist generative KI inzwischen zu einem zentralen Diskussionsthema geworden. Sicherheitsexperten, Führungskräfte und politische Entscheidungsträger sehen ihr Potenzial sowohl in der Offensive als auch in der Defensive des Wettrüstens im Bereich der Cyber Security. Auch auf politischer Ebene nimmt das Thema Cybersicherheitsstrategie in den Gesprächen einen immer größeren Raum ein. In diesem Zusammenhang wurden zum Beispiel in den USA neue Vorschriften zur Festlegung grundlegender Cybersicherheitsstandards und eine verstärkte Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor bei der Cybersicherheitsabwehr und der Bekämpfung von Bedrohungen vorgeschlagen.

KI – ein zweischneidiges Schwert in der Softwareentwicklung

Moderne Unternehmen mit modernen Infrastrukturen arbeiten mit hoher Geschwindigkeit an der Entwicklung unternehmenskritischer Anwendungen. Um mit diesem Tempo Schritt zu halten, verlassen sich Entwickler beim Schreiben von Code zunehmend auf KI-Tools wie ChatGPT, wodurch unbeabsichtigt bösartige Pakete und CVEs in ihre Software eingeschleust werden können. KI kann auch Teil der Lösung sein, indem Machine Learning-Algorithmen als Teil der Automatisierung der Schwachstellenerkennung eingesetzt werden. Obwohl KI eine wichtige Rolle bei der Softwareentwicklung spielen kann, sollten die Risiken nicht übersehen werden und die Technologie von Softwareentwicklungsteams mit Vorsicht eingesetzt werden.

Unternehmen bevorzugen Plattformen gegenüber Einzellösungen

Sicherheitsexperten weisen auf die zunehmende Komplexität der Cybersicherheitslandschaft und die Verbreitung von Einzellösungen hin. Sie sind sich jedoch einig, dass Plattformen für Unternehmen die bessere Wahl sind, da sie dazu beitragen, den „Tool-Wildwuchs" zu minimieren. Es wird immer deutlicher, dass die Zeiten, in denen man sich bei der Sicherung der Software-Lieferkette auf Einzellösungen verlassen konnte, vorbei sind. Ein gutes Beispiel dafür ist, dass selbst die technisch versiertesten Teams Schwierigkeiten haben, unterschiedliche komplexe Sicherheitslösungen in ihre DevOps- und Software-Supply-Chain-Workflows einzubinden. Die Komplexität kann zu unbeabsichtigten Lücken in der Abdeckung führen und stellt ein eigenes Sicherheitsrisiko dar. Eine Plattformlösung, wie beispielsweise die JFrog Platform oder ähnliche, kann auch die Tool-Konsolidierung erleichtern.

In die Software-Lieferkette eingebettete Sicherheitsexpertise

Für zahlreiche Unternehmen stellt der Fachkräftemangel im Bereich der Cybersicherheit weiterhin ein sehr großes Problem dar. Deshalb sprechen sich viele Führungskräfte und politische Entscheidungsträger dafür aus, dass Startups Lösungen entwickeln, die fortschrittliche Cybersicherheit auch für Laien zugänglich machen. So könnte für kleinere Unternehmen und normale Anwender der Einsatz von Sicherheitslösungen weniger ressourcenintensiv werden. Da Unternehmen versuchen, die Sicherheit in frühe Phasen des Softwareentwicklungszyklus zu verlagern, wird ihre Fähigkeit, dies zu tun, durch die Sicherheitskenntnisse der Entwickler eingeschränkt. Die Zusammenarbeit zwischen den Entwicklungsteams und den Sicherheitsbehörden sowie die Einstellung und die Bindung von Mitarbeitern mit Sicherheitskenntnissen stellen weiterhin eine Herausforderung dar.

Feedback aus der DevSecOps-Community

Das Feedback zeigt, dass die Entwickler, Produktsicherheits- und DevOps-Ingenieure momentan mit folgenden Problemen zu kämpfen haben:

  • Zu viele zu behebende Schwachstellen (inkl. False Positives)
  • Hoher manueller Aufwand für die Sicherheitsexperten
  • Entwickler verwenden OSS aus öffentlichen Repositories und anderen unzuverlässigen Quellen
  • Verwendung mehrerer AST-Sicherheitstools mit möglichen Schwachstellen Es ist wichtig, die Probleme anzugehen und die Sicherheit der Software-Lieferkette aus einer anderen, kontextbezogenen Perspektive zu betrachten. Sicherheitsexperten wissen, dass die Analyse des Quellcodes allein nicht ausreicht, um den Kontext von CVEs wirklich zu analysieren und ein echtes kontextbezogenes Verständnis zu entwickeln. Dies kann nur durch die Betrachtung der Software-Binärdateien erreicht werden, die viel mehr Informationen enthalten als der Quellcode allein.

Fazit

Bei den lebhaften Diskussionen, die die Verantwortlichen von JFrog mit zahlreichen DevOps- und Cybersecurity-Experten kontinuierlich führen, wird einigen Sicherheitsfunktionen eine besondere Bedeutung beigemessen. So kann eine Kontextanalyse helfen Fehlalarme zu verringern und so den Arbeitsaufwand für die Behebung von Schwachstellen mit Schwerpunkt auf ausnutzbaren CVEs reduzieren. Dies beinhaltet eine detaillierte Analyse der Schwachstelle und ihrer Anwendbarkeit auf die Anwendung und kann den Anwendern auch spezifische Abhilfemaßnahmen auf Tastendruck liefern. Zudem müssen auch versteckte Schwachstellen identifiziert werden können und im besten Fall mit einer auf Binärdateien fokussierten Erkennung über den Quellcode und die CVEs hinaus. Abschließend ist es für die Sicherheitsteams essenziell, stets die vielschichtigen Auswirkungen und den Aktionsradius von Schwachstellen im Auge zu haben und so ein genaues Verständnis dafür zu erlangen, welche Gegenmaßnahmen getroffen werden müssen.