Mark Geeslin Asurion

Es besteht kein Zweifel daran, dass die DevOps-Welt eine Reihe neuer, spannender Herausforderungen für die Sicherheit darstellt. Wenn man die Herausforderung jedoch mit einem offenen Geist annimmt und alle Optionen ganzheitlich aus einem risikobasierten Ansatz heraus bewertet, kommt man zu dem Schluss, dass es nicht nur Herausforderungen, sondern auch Chancen gibt. Softwaresysteme können gründlicher und robuster abgesichert werden als je zuvor.

In der Softwareentwicklung hat sich der DevOps-Ansatz immer stärker durchgesetzt, um so eine effektivere und effizientere Zusammenarbeit in der Entwicklung, dem ITBetrieb und der Qualitätssicherung voranzubringen. Um die Sicherheit der Produkte zu gewährleisten, müssen sich allerdings Kultur und Prozesse der Teams ändern.

Frederick Brooks hat vor vielen Jahren in seinem berühmten Artikel „No Silver Bullet“ überzeugend darauf hingewiesen, dass das Entwerfen und Entwickeln von Software von Natur aus ein schwieriger Prozess ist. Die der Softwareentwicklung inhärente Komplexität lässt sich demzufolge, außer in Details, nicht vereinfachen. Mehrheitlich genießt dieser Standpunkt Akzeptanz: Falsche Hoffnungen, bahnbrechende Vereinfachungen der Abläufe durch eigenwillige, zeitweilig beliebte Ideen wie visuelle Programmierung, formale Verifikation und dergleichen zu erreichen, werden ad acta gelegt. Es gibt jedoch immer noch viele, die glauben, dass sie auf diesen Gebieten doch noch den Durchbruch erzielen könnten. Allerdings dauert es in der Regel nur wenige Jahre, bis die Praxis ihre Fantasien mit Fakten korrigiert, zum Beispiel dem Fortbestehen von Bugs, überzogenen Deadlines, technischen Unzulänglichkeiten und ähnlichem mehr. Brooks behält Recht: Es gibt kein und wird auch nie ein Wundermittel geben, um die oftmals quälende Komplexität in der Softwareentwicklung zu überwinden.

Wenn die Entwicklung von Software also ein im Wesentlichen schwieriger Prozess ist, dann ist die Entwicklung sicherer Software ein noch schwierigerer Prozess. Eine Tatsache, die die überwiegende Mehrheit der Ingenieure, Forscher, Manager und Wissenschaftler in der Industrie zweifellos bestätigt. Seit dem Aufkommen der Securityidee in der Softwareentwicklung ist die Gewährleistung der Sicherheit eines Systems immer eine der anspruchsvollsten Aufgaben. Es ist schwierig genug, sicherzustellen, dass die Software in jedem vorstellbaren Nutzungsszenario tatsächlich das tut, wofür sie entwickelt wurde. Noch anspruchsvoller ist es, dafür zu sorgen, dass sie darüber hinaus nichts anderes kann, als das, wofür sie konzipiert wurde. Doch trotz des hohen Anspruchs ist das die zentrale Aufgabe, vor der Entwickler und Unternehmen stehen, wenn sie eine sichere Software programmieren wollen.

Den vollständigen Artikel lesen Sie in der Ausgabe:

Java Magazin 1.19 - "Das JavaScript-Ökosystem"

Alle Infos zum Heft
579868755Security by Design in einer DevOps-Welt
X
- Gib Deinen Standort ein -
- or -