KONTINUIERLICHE
SICHERHEIT

Kontinuierliche Sicherheit

Kontinuierliche Sicherheit ist das Nirwana eines Entwicklers. Immer sicher zu sein, während man irgendeine Software entwickelt, ist ein Traumzustand, der unrealistisch zu erreichen ist. Wenn wir jedoch danach streben, dieses schwer fassbare Ziel zu erreichen, könnten wir am Ende eine Software haben, die zumindest so sicher ist, dass ein Angreifer viele Ressourcen benötigt, bevor er die Anwendung knacken kann.

Crashtest Security bietet Softwareentwicklern automatisierte Software zum Scannen von Schwachstellen für Webanwendungen und APIs. Wir wollen aber auch unser Wissen und unsere Best Practices rund um Cybersecurity in allen Themen der agilen Softwareentwicklung teilen.

Haben Sie ein bestimmtes Thema, über das Sie gerne mehr erfahren möchten? Bitte schreiben Sie uns! Wir versprechen, innerhalb einer Woche Inhalte zu Ihrem Thema zu veröffentlichen.

mag image 1 Kontinuierliche Sicherheit

icon Kontinuierliche SicherheitKontinuierliche Lieferung

Um das Thema Kontinuierliche Sicherheit einzuführen, beginnen wir mit einem der Kernprinzipien: „Kontinuierliche Lieferung“. Dieses Thema umfasst einige allgemeine Begriffe und Definitionen rund um DevOps und agile Entwicklung. Ein Kontinuierliche-Lieferung-Prozess ermöglicht es Teams, entwickelten Code zu übernehmen und automatisch in einer Produktionsumgebung zu veröffentlichen. Dieser Prozess beinhaltet typischerweise verschiedene Tests und ist der zentrale Enabler für die Automatisierung und Standardisierung von Sicherheitstests in der Softwareentwicklung.

Wenn Sie noch nie etwas von DevOps oder dem Begriff „Kontinuierliche Sicherheit“ gehört haben, empfehlen wir Ihnen, mit unseren grundlegenden FAQ zu allen Themen rund um DevOps zu beginnen. Wir stellen das allgemeine Thema vor, warum DevOps in Software-Entwicklungsteams eingeführt wird und welche Vorteile es bietet. Außerdem gehen wir auf einige grundlegende Technologien ein, die den Erfolg von DevOps und agiler Entwicklung vorantreiben. Außerdem erhalten Sie Referenzen für weiterführende Lektüre.

Wenn Sie die Vorteile eines Kontinuierliche-Lieferung-Workflows in der Praxis verstehen wollen, lesen Sie unseren Blogbeitrag „Warum Kontinuierliche Lieferung wichtig ist“. Wir teilen die Geschichte eines Anwenders aus einem befreundeten Startup, der versuchte, Textänderungen in seiner Software zu implementieren. Der Benutzer verstand Heroku, Bitbucket und die Grundlagen von Code-Repository-Workflows recht schnell. Leider konnten die Änderungen aufgrund fehlender Continuous-Delivery-Prozesse nicht ohne die Agentur überprüft werden.

Unser abschließender Inhalt zum Thema Kontinuierliche Lieferung geht noch mehr ins Detail und befasst sich viel ausführlicher mit dem Aspekt der Cybersicherheit. Wenn Sie sich für die Bits und Bytes von sicheren DevOps-Prozessen und Red Teaming interessieren, lesen Sie unseren Blog zum Thema „Warum sollte sich Cybersecurity um DevOps kümmern?“. In diesem Artikel geht es um die Bedeutung von Sicherheitsteams, wenn es um DevOps und Kontinuierliche Lieferung geht. Wir tauchen tiefer in zwei konkrete Elemente ein, die Cybersecurity angehen sollte: Security Champions und Standardisierung durch Tools. Selbst als erfahrener Pentester oder Entwickler werden Sie etwas Neues lernen.

icon2 Kontinuierliche SicherheitContainer-Sicherheit

Unsere nächsten Inhaltsabschnitte behandeln zwei Technologien, die die DevOps-Einführung in Unternehmen vorantreiben und beschleunigen. Dieser Teil behandelt die Infrastrukturkomponente, nämlich die Container-Sicherheit.

Container schaffen eine virtuelle Schicht zwischen der Infrastruktur und dem darauf befindlichen Code. Dies hilft Entwicklern, immer die gleichen Bedingungen zu haben – sei es in Entwicklungs-, Test- oder Produktionsumgebungen. Container können so konfiguriert werden, dass sie bestimmte Netzwerk-, Rechen- und Speicherressourcen sowie Installationen von Betriebssystemen und Software darauf enthalten. Während die Virtualisierung der Infrastruktur und der Basis-Software es für Entwickler einfacher macht, stellt sie auch ein Sicherheitsproblem dar.

Wir bereiten einen Leitfaden vor, der die Best Practices im Bereich der Container-Sicherheit abdeckt. Diese Best Practices umfassen Erkenntnisse, die wir selbst eingearbeitet haben, und sind ein großartiger Ausgangspunkt für jedes Startup oder größere Unternehmen, wenn es um die Einrichtung der anfänglichen Architektur geht. In technischen Deep-Dives decken wir die Containersicherheit selbst ab (z. B. für Docker), gehen aber auch auf die Orchestrierungsschicht ein (z. B. Kubernetes). Lesen Sie demnächst die Cybersecurity-Startup Best Practices für Container-Sicherheit!

Für alle, die schon etwas fortgeschrittener sind, haben wir zwei spezielle How-to-Artikel rund um Container:

„Collect Kubernetes Logs on Docker for Mac“ gibt Ihnen einen netten Work-Around für das Sammeln von Logs mit einem Bash-Skript. Dies funktioniert hervorragend auf Ihrem lokalen Cluster, wenn Sie die integrierte Kubernetes-Funktionalität von Docker für Mac verwenden.

Für alle Terraform-, Kubernetes- und Vault-Benutzer da draußen haben wir eine Lösung für den Fall, dass Sie auf den Fehler „resource does not have attribute“ stoßen. Wir haben ein kurzes Skript für Sie, um automatisch ein Kubernetes-Service-Konto zu erstellen und das JWT-Token zur Bereitstellung von Vault im Cluster zu verwenden.

icon3 Kontinuierliche SicherheitTools und Integrationen

Nachdem wir nun die Grundlagen von Continuous Delivery und die technischen Aspekte behandelt haben, können wir mit den fortgeschrittenen Integrationen und Tools beginnen, die in DevOps-Workflows integriert werden können. wir werden speziell auf Tools eingehen, die Sicherheitstests ermöglichen. Im Folgenden finden Sie einen Überblick über die verschiedenen Tools, die Sie in einer DevOps-Umgebung verwenden können.

mag image 3 Kontinuierliche Sicherheit

Für den Anfang haben wir einen Artikel, der Ihnen hilft, die tieferen Aspekte von DevOps zu verstehen, indem er weitere hilfreiche Ressourcen bereitstellt. Die Materialien behandeln die Kultur, die erste praktische Erfahrung bei der App-Entwicklung, die Abbildung von End-to-End-Workflows, Automatisierung und KPI-Themen. Sehen Sie sich diesen Artikel hier an: Erfahren Sie mehr über DevOps

Als Nächstes haben wir eine Übersicht über die Sicherheitstest-Tools in DevOps erstellt. Dieser Artikel ist ein guter Ausgangspunkt, wenn Sie verstehen wollen, welche Art von Sicherheitstests es in DevOps gibt – und welche Tools Sie dafür verwenden können. Die Geschichte folgt den verschiedenen Stadien einer CI/CD-Pipeline, also stellen Sie sicher, dass Sie die Grundlagen vorher verstehen. Dieser Inhalt ist ein guter Einstieg in das Thema DevOps-Sicherheit!

Schließlich haben wir noch ein 30-minütiges Tutorial zum Aufbau einer eigenen DevSecOps-Pipeline für Sie! Dieses Tutorial führt Sie Schritt für Schritt durch das Einrichten einer App in Heroku, das Erstellen eines einfachen CI/CD-Workflows mit CircleCI und das Integrieren zweier Tools: Einen SAST-Test (Python Safety Check) und einen DAST-Test (Crashtest Security). Außerdem lernen Sie die grundlegenden GitHub Push/Pull/Commit-Funktionen kennen.

Table of content

New Project 1 Kontinuierliche Sicherheit

Download des Whitepapers

Erfahren Sie, wie Sie Continuous Security in Ihre agile Entwicklung implementieren können.

Download

icon2 Kontinuierliche SicherheitContainer-Sicherheit

Unsere nächsten Inhaltsabschnitte behandeln zwei Technologien, die die DevOps-Einführung in Unternehmen vorantreiben und beschleunigen. Dieser Teil behandelt die Infrastrukturkomponente, nämlich die Container-Sicherheit.

Container schaffen eine virtuelle Schicht zwischen der Infrastruktur und dem darauf befindlichen Code. Dies hilft Entwicklern, immer die gleichen Bedingungen zu haben – sei es in Entwicklungs-, Test- oder Produktionsumgebungen. Container können so konfiguriert werden, dass sie bestimmte Netzwerk-, Rechen- und Speicherressourcen sowie Installationen von Betriebssystemen und Software darauf enthalten. Während die Virtualisierung der Infrastruktur und der Basis-Software es für Entwickler einfacher macht, stellt sie auch ein Sicherheitsproblem dar.

Wir bereiten einen Leitfaden vor, der die Best Practices im Bereich der Container-Sicherheit abdeckt. Diese Best Practices umfassen Erkenntnisse, die wir selbst eingearbeitet haben, und sind ein großartiger Ausgangspunkt für jedes Startup oder größere Unternehmen, wenn es um die Einrichtung der anfänglichen Architektur geht. In technischen Deep-Dives decken wir die Containersicherheit selbst ab (z. B. für Docker), gehen aber auch auf die Orchestrierungsschicht ein (z. B. Kubernetes). Lesen Sie demnächst die Cybersecurity-Startup Best Practices für Container-Sicherheit!

Für alle, die schon etwas fortgeschrittener sind, haben wir zwei spezielle How-to-Artikel rund um Container:

„Collect Kubernetes Logs on Docker for Mac“ gibt Ihnen einen netten Work-Around für das Sammeln von Logs mit einem Bash-Skript. Dies funktioniert hervorragend auf Ihrem lokalen Cluster, wenn Sie die integrierte Kubernetes-Funktionalität von Docker für Mac verwenden.

Für alle Terraform-, Kubernetes- und Vault-Benutzer da draußen haben wir eine Lösung für den Fall, dass Sie auf den Fehler „resource does not have attribute“ stoßen. Wir haben ein kurzes Skript für Sie, um automatisch ein Kubernetes-Service-Konto zu erstellen und das JWT-Token zur Bereitstellung von Vault im Cluster zu verwenden.

icon3 Kontinuierliche SicherheitTools und Integrationen

Nachdem wir nun die Grundlagen von Continuous Delivery und die technischen Aspekte behandelt haben, können wir mit den fortgeschrittenen Integrationen und Tools beginnen, die in DevOps-Workflows integriert werden können. wir werden speziell auf Tools eingehen, die Sicherheitstests ermöglichen. Im Folgenden finden Sie einen Überblick über die verschiedenen Tools, die Sie in einer DevOps-Umgebung verwenden können.

mag image 3 Kontinuierliche Sicherheit

Für den Anfang haben wir einen Artikel, der Ihnen hilft, die tieferen Aspekte von DevOps zu verstehen, indem er weitere hilfreiche Ressourcen bereitstellt. Die Materialien behandeln die Kultur, die erste praktische Erfahrung bei der App-Entwicklung, die Abbildung von End-to-End-Workflows, Automatisierung und KPI-Themen. Sehen Sie sich diesen Artikel hier an: Erfahren Sie mehr über DevOps

Als Nächstes haben wir eine Übersicht über die Sicherheitstest-Tools in DevOps erstellt. Dieser Artikel ist ein guter Ausgangspunkt, wenn Sie verstehen wollen, welche Art von Sicherheitstests es in DevOps gibt – und welche Tools Sie dafür verwenden können. Die Geschichte folgt den verschiedenen Stadien einer CI/CD-Pipeline, also stellen Sie sicher, dass Sie die Grundlagen vorher verstehen. Dieser Inhalt ist ein guter Einstieg in das Thema DevOps-Sicherheit!

Schließlich haben wir noch ein 30-minütiges Tutorial zum Aufbau einer eigenen DevSecOps-Pipeline für Sie! Dieses Tutorial führt Sie Schritt für Schritt durch das Einrichten einer App in Heroku, das Erstellen eines einfachen CI/CD-Workflows mit CircleCI und das Integrieren zweier Tools: Einen SAST-Test (Python Safety Check) und einen DAST-Test (Crashtest Security). Außerdem lernen Sie die grundlegenden GitHub Push/Pull/Commit-Funktionen kennen.

illustration 1 Kontinuierliche Sicherheit

ABONNIERE UNSEREN NEWSLETTER

Bleib in Kontakt mit unseren Crashtest Security Updates und erhalte interessante Inhalte über Cybersicherheit.

Subscribe