DevSecOps und DSGVO – Warum Open-Source Governance so wichtig ist
In einer durch Anwendungen geprägten Wirtschaft, stehen Softwareentwicklungsteams vor der Herausforderung, neue Versionen schneller zu veröffentlichen, die Qualität zu verbessern und Innovationen zu beschleunigen.
Geschwindigkeit hat jedoch ihre Grenzen. IT-Organisationen benötigen Kontrollen, um Risiken zu minimieren, die Sicherheit zu verbessern und die Einhaltung von Richtlinien sicherzustellen.
Gemäß DSGVO müssen Unternehmen wissen, wo und wie die privaten Daten von EU-Bürgern gespeichert und abgerufen werden. Sie müssen nachweisen, dass solche Daten “geplant und standardmäßig” mit angemessenen Sicherheitsmaßnahmen über den gesamten Software-Lebenszyklus geschützt sind.
Mit den Anforderungen an Geschwindigkeit und Kontrolle konfrontiert sind die Betreiber moderner Softwarefabriken, also Softwarearchitekten, Entwickler, Sicherheitsexperten und IT-Betriebsleiter. Der hohe Innovationsdruck darf nicht zu Abstrichen führen. Stattdessen muss durchdacht gearbeitet, müssen organisatorische und kulturelle Silos abgebaut und neue Wege gefunden werden, um Kontrollen einzuführen, die mit Entwicklungsgeschwindigkeit funktionieren.
Vor diesem Hintergrund sind Open-Source-Komponenten das Mittel der Wahl unter Softwareentwicklern. De facto sind Open-Source Komponenten so weit verbreitet, dass laut neuesten Forschungen etwa 80 % einer Softwareanwendung aus derlei Komponenten besteht.
Wenngleich Open Source für Geschwindigkeit, Effizienz und enorme Energie innerhalb moderner Entwicklungsteams sorgt, stehen moderne IT-Risikomanager und Governance-Experten damit vor schwierigen Herausforderungen. Einige Komponenten weisen bekannte Sicherheitslücken auf, und Entwickler verwenden diese oft nach eigenem Ermessen, ohne manuell nach möglichen Risiken zu suchen. Bei jährlich mehr als 200.000 Komponenten und 3 bis 4 Stunden manueller Recherche pro Komponente, können notwendige Überprüfungen natürlich nicht mit dem Verbrauch Schritt halten.
Basierend auf bekannten Sicherheitslücken können Open-Source-Softwarekomponenten jedoch manipuliert werden, um gesetzeswidrig Zugriff auf Anwendungen und deren Daten zu erhalten. Laut aktuellen Berichten von Forrester Research sind Schwachstellen in Anwendungen der wichtigste Angriffsvektor für Hacker.
Bessere Alternativen
Sonatype Lifecycle von Sonatype ermöglicht eine höchst präzise Identifizierung und Analyse von Open-Source-Komponenten, damit Entwicklungsteams stets auf dem neuesten Stand und Anwendungen sicher sind. Sonatype Lifecycle gewährt sofortigen Zugriff auf Sicherheitsinformationen und andere Komponenten-Details, die die Auswahl der besten Komponenten erleichtern. Mithilfe einer digitalen Software-Stückliste verfolgt Sonatype Lifecycle auch die Verwendung dieser Komponenten während des gesamten Entwicklungszyklus in der Produktion. Werden neue Schwachstellen in den Komponenten entdeckt, so werden die entsprechenden Teams sofort benachrichtigt und durch die verfügbaren Korrekturoptionen geführt.
Führende Unternehmen die Sonatype Lifecycle einsetzen, um die Open-Source-Governance zu automatisieren und Anwendungen abzusichern, haben somit auch im Hinblick auf die Einhaltung der DSGVO die Nase vorn.
Dieser Post ist ein Gastbeitrag von unserem Partner Sonatype, die interessante und wichtige Themen wie DevSecOps und Effizienz mit ihren Nexus Produkten bedienen.