In der Vergangenheit wurde Sicherheit in der IT-Branche als Nebensache behandelt. In den letzten Jahren gab es jedoch Druck, „Security by Design“ einzuführen, um sicherzustellen, dass Produkte unter Berücksichtigung bewährter Verfahren entwickelt werden.
Wir sprachen mit David Melamed, CTO von Jit, um mehr über die Integration von Sicherheit zu erfahren und wie Sicherheitstools von Entwicklern und nicht nur von Sicherheitsexperten verwendet werden können.
BN: Wie sind Sie in den Bereich Entwicklungssicherheit eingestiegen?
DM: Als Software-Ingenieur (vor langer Zeit) habe ich verstanden, dass Sicherheit ein entscheidender Faktor bei der Bereitstellung hochwertiger Software ist. Im Laufe der Jahre investierte ich mehr Zeit und Mühe, um die Domäne zu studieren, und hatte die besondere Gelegenheit, bei CloudLock (später von Cisco übernommen) praktische Erfahrungen mit der Cloud-Sicherheit zu sammeln. Im CTO-Büro habe ich gründliche Recherchen zu realen Cloud-Sicherheitsbedrohungen durchgeführt und war sogar einer der Forscher, die zu den Top 10 der serverlosen Sicherheitsbedrohungen beigetragen haben (bevor Serverless so stark wurde, wie es jetzt ist). Heute, bei Jit, habe ich diese Fachkompetenz aus vielen Jahren als praktischer Entwickler, Architekt und Sicherheitsforscher eingebracht, um den gesamten Umfang der End-to-End-Sicherheit durch ein offenes und zugängliches Framework für alle abzudecken.
BN: Was sind die größten Herausforderungen bei der Implementierung von Sicherheitstools?
DM: Kurz gesagt – es gibt viele.
Die reine Vielfalt und Menge an Sicherheitstools machen dies zu einer wirklich schwierigen Landschaft. Es gibt nicht nur verschiedene Kategorien von Erkennung bis Prävention, Code-Scanning, Erkennung von Laufzeit-Schwachstellen, sondern sie können auch in vielen Formen auftreten, von ausführbaren Dateien und Skripten bis hin zu API-basierten Tools, SaaS und Open-Source-Paketen. Die größte und am häufigsten genannte Herausforderung besteht jedoch darin, dass jedes dieser Tools eine Welt voller Fachkenntnisse für sich ist und über eine eigene „Sprache“, Implementierungsmethode, Schnittstelle und Ausgabe verfügt. All dies zusammen ergibt eine steile Lernkurve, um eine End-to-End-Sicherheitsabdeckung für die vielen Ebenen der heutigen Cloud-nativen Stacks zu erreichen – sowie eine lange „Zeit bis zur vollständigen Sicherheitsabdeckung“.
Trotzdem Das wichtigste Stück Sicherheit in einer solchen Landschaft ist ein vordefinierter Plan, im Wesentlichen ein Nordstern für Ihre Produktsicherheit. Denn selbst wenn Sie alle richtigen Tools integrieren, Ihr Sicherheitsziel jedoch nicht genau definiert ist, werden Sie nie wissen, ob Sie Ihre Sicherheitslage richtig verwalten und ob es erhebliche Lücken in Ihrer Produktsicherheit gibt.
BN: Wie sollten Teams Sicherheit in den Entwicklungsprozess integrieren?
DM: Die Einbettung von Sicherheit in die Entwicklung sollte bereits in der ersten Codezeile beginnen eine Praxis und Kultur, schon vorher in den Phasen Design und Bedrohungsmodellierung. Es gibt so viele Schichten, aus denen unsere Produkte heute bestehen – vom Code über die Integrationen und Drittanbieter (oft als Lieferkette bezeichnet), die Infrastruktur – mit einer Vielzahl von Laufzeiten und vielem mehr. All dies zusammen hat viele Einstiegspunkte für potenzielle Angreifer geschaffen, und keiner davon kann übersehen werden.
Trotzdem glauben wir, dass Teams klein anfangen und mit einem minimal praktikablen Sicherheitsansatz iterieren können–Ähnlich wie bei einem MVP müssen Sie nicht vom ersten Tag an eine Festung bauen, sondern nur einen Basisplan, der Ihnen das Minimum an Kontrollen bietet, um die wichtigsten Exploits in all diesen Kategorien abzudecken. Es gibt viele wirklich großartige Open-Source-Tools, um Ihnen den Einstieg zu erleichtern. Wir haben in unserem Blog eine ziemlich gute Zusammenfassung des Top 5 Open-Source-Sicherheitstools, die alle Entwickler kennen sollten (und eine toller Vortrag!)
BN: Können Sie die Rolle von Open-Source-Projekten im Bereich der Cybersicherheit erläutern?
DM: Open-Source-Sicherheit hat sich im Laufe der Jahre unglaublich entwickelt, und heute gibt es eine beträchtliche Anzahl von ziemlich großartige Open-Source-Sicherheitstools – die die Branche grundlegend verändert haben. Von OWASP ZAP (dem am weitesten verbreiteten Webanwendungsscanner-gepflegt von unserem eigenen angesehenen Ingenieur Simon Bennetts), zu Gitleaks, die Jit unterstützt und sponsert, neben vielen anderen von KICS bis zu Prowler, Semgrep und mehr.
Diese Projekte haben die Eintrittsbarriere für Sicherheit gesenkt, wo bis heute ein Großteil der Sicherheitslandschaft geschlossen war und Premium-Software-Suiten nicht immer für kleinere und wachsende Unternehmen zugänglich sind. Viele OSS-Sicherheitstools sind heute Best-of-Breed und bieten eine sehr gute Abdeckung für allgemeine Anforderungen und haben dazu beigetragen, dringend benötigte Innovationen bereitzustellen und zu verstehen, wie Sicherheitserfahrungen (ähnlich wie Entwickler-oder Benutzererfahrungen) aussehen sollten, um wirklich weit verbreitet zu sein Annahme.
BN: Was ist Ihre Meinung zur Zukunft der Sicherheit für Unternehmen mit schnelllebigen Entwicklungsteams?
DM: Unternehmen, die dies nicht tun werden Wissen, wie man Sicherheit in native Entwickler-Workflows in Hochgeschwindigkeits-Engineering-Organisationen einbettet, wird auf der Strecke bleiben. Es gibt keine Zeit für Reibung oder Lernkurven, Sicherheitstools müssen für Entwickler optimiert werden. Sie müssen ein klares Ergebnis liefern und nicht nur informativ sein, sondern sich darauf konzentrieren, mit integrierter Behebung umsetzbar zu sein. Wir glauben, dass die Sicherheitstools, die das Spiel verändern werden, diejenigen sind, die mit einer Fix-First-Denkweise ausgestattet sind und nicht nur problemorientiert sind (Entwickler haben die Nase voll von langen Listen von Schwachstellen, die wissen, wie man sie behebt).
Darüber hinaus ist die andere Hälfte davon, dass wir mit der wachsenden und sich ständig weiterentwickelnden Bedrohungslandschaft schließlich sehen werden, dass die Sicherheits-(Entwicklungs-)Tools, die dies richtig machen, schließlich der Wegbereiter sein werden (ja, Sie haben richtig gehört–der Enabler) der Hochgeschwindigkeitstechnik mit Sicherheit. Heutzutage steht zu viel auf dem Spiel, und Unternehmen sind nur einen Pull-Request und einen Durchbruch von einer großen Katastrophe entfernt. Ingenieurbüros, die in der Lage sein werden, schnell zu liefern und gleichzeitig für kontinuierliche Sicherheit zu sorgen, werden diejenigen sein, die die Führung übernehmen.
Bildnachweis: mikkolem/depositphotos.com