Die Welt der Softwareentwicklung hat sich verändert. Heutzutage werden in 65 % der Softwareentwicklungsprojekte agile Methoden verwendet. Durch Continuous Integration (CI) und Continuous Deployment (CD) können Unternehmen schneller auf Markttrends reagieren und somit häufiger als früher neue Versionen ihrer Web Anwendungen und APIs veröffentlichen. Diese Entwicklungen führen jedoch zu neuen Herausforderungen im Rahmen der Security dieser Web Anwendungen, denn auch die Sicherheitstests müssen sich den kürzeren Entwicklungszyklen angepasst und agiler werden.
Vorschau
Neue Arten der Softwareentwicklung erfordern auch eine neue Art des Testens. Die Zeiten, in denen ein Softwareprojekt von der Einleitung bis zu Bereitstellung nach einem manuellen Sicherheitscheck ein Jahr dauerte, sind vorbei. Da häufig mehrmals pro Woche neue Software ausgerollt wird, können manuelle Sicherheitstests nicht mehr Schritt halten. Daher müssen Tests automatisiert und in den täglichen Arbeitsablauf der Entwickler integriert werden. Das Open Web Application Security Project (OWASP) nennt diese Form von Tests continuous security (testing)ii.
Qualitätsmanagement und -probleme sind gut erforscht. Die Zehnerregel besagt, dass ein in einer bestimmten Phase der Produktentwicklung erkannter Fehler das Zehnfache des Geldes kostet, um ihn zu beheben, als wenn dieser Fehler eine Stufe früher gefunden worden wäre . Im Vergleich zu einem Fehler in der Planungsphase kann ein Fehler in der Produktionsphase daher bis zu 1000 mal höhere Kosten verursachen. Diese Zahlen sind ähnlich für Sicherheitsfehler (d.h. Schwachstellen) in Softwareprodukten.
In der agilen Softwareentwicklung, in der ein zweiwöchiger Entwicklungssprint alle Phasen von der Planung über die Entwicklung bis zur Kundenpräsentation umfasst, steigt der Wert des Testens radikal an. Continuous Security garantiert, dass alle Softwareversionen bereits in der Entwicklungsphase getestet werden. Im Gegensatz zu manuellen Sicherheitstests, die oft nur für größere Releases durchgeführt werden, können so alle Versionen, die veröffentlicht werden sollen, getestet werden.
Diese Art des Testens ermöglicht eine frühzeitige Fehlererkennung im Entwicklungslebenszyklus, was zu Zeit- und Kosteneinsparungen führt und gleichzeitig das Sicherheitsniveau des entwickelten Produkts erhöht.