So sollte man bei der Security-Automatisierung vorgehen

Security-Automatisierung sorgt für Risiko-Reduzierung
Kommentare

Angesicht der steigenden Anzahl von Cyberangriffen stehen Unternehmen unter einem enormen Druck, ihre kritischen Assets genau davor zu schützen. Das Problem daran: es gibt derzeit keine allgemeingültige Lösung, mit der sich Unternehmens-Applikationen zuverlässig vor Angriffen schützen lassen.

Dazu kommt, dass die manuelle Ausführung aller möglichen Fälle und Methoden zur Verbesserung der Sicherheit durchaus sehr zeitaufwändig und kostenintensiv  werden und erst recht zu potentiellen Schwachstellen führen kann. Quality-Assurance-Teams sollten sich daher nach Möglichkeiten zur Security-Automatisierung umsehen. Sanjay Zalavadia hat dazu einige Tipps zusammengefasst.

Security-Automatisierung bringt viele Vorteil

Um für eine möglichst hohe Sicherheit bei Applikationen zu sorgen, stehen QA-Teams allerhand unterschiedliche Methoden zur Verfügung, die jedoch meist manuell ausgeführt und koordiniert werden müssen. So wird die Arbeit des Teams schnell unübersichtlich und kann im schlimmsten Fall dafür sorgen, dass die Applikation erst recht anfällig für potentielle Schwachstellen wird.

Darum ist es hilfreich, für Security-Automatisierung zu sorgen. Ganz abgesehen davon, dass sich so potenzielle Sicherheitsrisiken reduzieren und die Programmfähigkeiten verbessern lassen, bringt das Einbinden von Sicherheitsaspekten in den Software-Entwicklungszyklus auch weitere Vorteile mit sich. Dazu gehört zum Beispiel eine nahtlose Programmintegration und ein größeres Bewusstsein der Teammitglieder für mögliche Sicherheitsrisiken.

Zwar kann die Security-Automatisierung eine deutliche Bereicherung der Entwicklungsanstrengungen darstellen und so das allgemeine Risiko bei der Software-Entwicklung senken, allerdings werden immer auch noch andere Tools benötigt. Gerade nachdem eine Applikation bereits veröffentlicht wurde, kann die Automatisierung essentiell zum Finden von Bedrohungen sein, während sich das QA-Team auf andere Aufgaben konzentrieren kann.

Automatisierung mit den richtigen Tools

Es gibt zahlreiche Tools, die sich Quality-Assurance-Teams zunutze machen können, um die Sicherheit ihrer Projekte zu testen. So wird eine automatisierte QA-Verifikation oft mithilfe von Code-Analysen und Schwachstellen-Testing ausgeführt. Beides dient dazu, besonders schnell mögliche Fehler zu finden, die leicht während der manuellen Evaluation übersehen werden können. Dazu sagt Sanjay Zalavadia:

This alone helps significantly reduce risks to app functionality and security capabilities while ensuring that QA teams are eliminating common vulnerabilities.

Doch selbst wenn QA-Teams automatisierte Tools für die Erfüllung der Sicherheitsbedürfnisse ihrer Apps benutzen, müssen sie trotzdem verstehen, wie diese Tests funktionieren und wie man sie ausführt. Der Grund dafür ist einfach: QA-Teams sind keine Sicherheitsexperten per se. So erwartet niemand, dass QA-Mitarbeitet selbst Skripte oder Tests zur Behebung von Schwachstellen schreiben – stattdessen müssen sie aber wissen, welches Tool wie einzusetzen ist, um Sicherheitsrisiken möglichst zu minimieren und so die Security-Automatisierung sinnvoll zu ergänzen.

Aufmacherbild: robot traffic policeman holding the stop sign von Shutterstock / Urheberrecht: koya979

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -