featured image

September 04, 2018 / by Shane Close / In Quality

DevSecOps und DSGVO - Warum Open-Source Governance so wichtig ist

In einer durch Anwendungen geprägten Wirtschaft, stehen Softwareentwicklungsteams vor der Herausforderung, neue Versionen schneller zu veröffentlichen, die Qualität zu verbessern und Innovationen zu beschleunigen.

Geschwindigkeit hat jedoch ihre Grenzen. IT-Organisationen benötigen Kontrollen, um Risiken zu minimieren, die Sicherheit zu verbessern und die Einhaltung von Richtlinien sicherzustellen.

Gemäß DSGVO müssen Unternehmen wissen, wo und wie die privaten Daten von EU-Bürgern gespeichert und abgerufen werden. Sie müssen nachweisen, dass solche Daten “geplant und standardmäßig” mit angemessenen Sicherheitsmaßnahmen über den gesamten Software-Lebenszyklus geschützt sind.

Mit den Anforderungen an Geschwindigkeit und Kontrolle konfrontiert sind die Betreiber moderner Software-Fabriken, also Softwarearchitekten, Entwickler, Sicherheitsexperten und IT-Betriebsleiter. Der hohe Innovationsdruck darf nicht zu Abstrichen führen. Stattdessen muss durchdacht gearbeitet, müssen organisatorische und kulturelle Silos abgebaut und neue Wege gefunden werden, um Kontrollen einzuführen, die mit Entwicklungsgeschwindigkeit funktionieren.

Vor diesem Hintergrund sind Open-Source Komponenten das Mittel der Wahl unter Softwareentwicklern. De facto sind Open-Source Komponenten so weit verbreitet, dass laut neuesten Forschungen etwa 80 % einer Softwareanwendung aus derlei Komponenten besteht.

Wenngleich Open Source für Geschwindigkeit, Effizienz und enorme Energie innerhalb moderner Entwicklungsteams sorgt, stehen moderne IT-Risikomanager und Governance-Experten damit vor schwierigen Herausforderungen. Einige Komponenten weisen bekannte Sicherheitslücken auf, und Entwickler verwenden diese oft nach eigenem Ermessen, ohne manuell nach möglichen Risiken zu suchen. Bei jährlich mehr als 200.000 Komponenten und 3 bis 4 Stunden manueller Recherche pro Komponente, können notwendige Überprüfungen natürlich nicht mit dem Verbrauch Schritt halten.

Basierend auf bekannten Sicherheitslücken können Open-Source Softwarekomponenten jedoch manipuliert werden, um gesetzeswidrig Zugriff auf Anwendungen und deren Daten zu erhalten. Laut aktuellen Berichten von Forrester Research sind Schwachstellen in Anwendungen der wichtigste Angriffsvektor für Hacker.

Bessere Alternativen

Nexus Lifecycle von Sonatype ermöglicht eine höchst präzise Identifizierung und Analyse von Open-Source Komponenten, damit Entwicklungsteams stets auf dem neuesten Stand und Anwendungen sicher sind. Nexus Lifecycle gewährt sofortigen Zugriff auf Sicherheitsinformationen und andere Komponenten-Details, die die Auswahl der besten Komponenten erleichtern. Mithilfe einer digitalen Software-Stückliste verfolgt Nexus Lifecycle auch die Verwendung dieser Komponenten während des gesamten Entwicklungszyklus in der Produktion. Werden neue Schwachstellen in den Komponenten entdeckt, so werden die entsprechenden Teams sofort benachrichtigt und durch die verfügbaren Korrekturoptionen geführt.

Führende Unternehmen die Nexus Lifecycle einsetzen, um die Open-Source Governance zu automatisieren und Anwendungen abzusichern, haben somit auch im Hinblick auf die Einhaltung der DSGVO die Nase vorn.

Dieser Post ist ein Gastbeitrag von unserem Partner Sonatype, die interessante und wichtige Themen wie DevSecOps und Effizienz mit ihren Nexus Produkten bedienen.


Shane Close

- Guest Author -

Shane hilft in seiner Rolle als Regional Director bei unserem Partner Sonatype Firmen dabei ihre Qualität und Effizienz zu verbessern und Risiken zu minimieren.

©2018 Cloudogu GmbH. All rights reserved. Legal Notice | Privacy Policy

Cloudogu™, Cloudogu EcoSystem™ and the Cloudogu™ logo are registered trademarks of Cloudogu GmbH, Germany.