Technologie Notdienst Nachrichten Die Entwicklung der Bedrohungsmodellierung als DevSecOps-Praxis
Technologie Notdienst Nachrichten .Die Gefahrenmodellierung wird immer mehr in den Architekturstil von Softwareanwendungen integriert.
Hier wirft Stephen de Vries von IriusRisk einen Blick auf die Weiterentwicklung des Verfahrens.
Durch.
Stephen de Vries.
Veröffentlicht: 07.07.2022 Die Risikomodellierung ist das Verfahren zur Vorstellung von Schwachstellen in Softwareanwendungen von der Designphase bis zum Entwicklungslebenszyklus der Softwareanwendung.
Eine ziemlich brandneue Softwareanwendungssicherheitspraxis, die in den letzten Jahren tatsächlich beträchtliche Zugkraft erlangt hat.
In der Vergangenheit wurde die Gefahrenmodellierung – eigentlich – von Sicherheitsspezialisten unter Verwendung von Whiteboards durchgeführt.
Heutzutage wird es jedoch immer mehr in den Architekturstil von Softwareanwendungen integriert, wobei Designer in erheblichem Maße in der Lage sind, es in Zusammenarbeit mit der Sicherheitsgruppe zu übernehmen, passend zum DevSecOps-Design.
Und es entwickelt sich weiter.
Open-Source-Gefahrenmodellierung ist vielleicht die nächste Maßnahme, wobei der Tool-Agnostizismus darauf hindeutet, dass sie weitaus umfassender angenommen werden kann.
Die Praxis, den Stil eines Software-Anwendungssystems zu betrachten, um mögliche Sicherheitsprobleme zu bestimmen, die höchste Funktion der Gefahrenmodellierung besteht darin, sich darauf vorzubereiten und proaktiv anzugehen, wie ein Gegner eine Anwendung gefährden könnte.
Grundsätzlich beinhaltet es die Behandlung der folgenden Bedenken während der gesamten Stilphase.
Was entwickeln wir? Was kann schief gehen? Was werden wir dagegen tun? Und haben wir eine großartige Aufgabe erfüllt? Durch das Aufdecken von Schwachstellen bei dieser Methode zu einem frühen Zeitpunkt im Entwicklungslebenszyklus der Softwareanwendung können Designer von Anfang an Sicherheiten in den Code integrieren und so viel Geld und Zeit sparen, um eventuelle Sicherheitsverletzungen zu beheben, die noch später auftreten.
Jedes Gefahrendesign, das in dieser frühen Phase entwickelt wurde, sollte dann verwendet werden, um alle nachgelagerten Sicherheitsaktivitäten, bestehend aus Ausführung, Überprüfung und darüber hinaus, zu melden.
Oft wird das Design jedoch nur während der Designphase verwendet und ist mit fortschreitender Aufgabe weniger relevant.
Nach links verschieben.
Indem sie die Gefahrenmodellierung begrüßen, können Designer wichtige Beziehungen zur Sicherheitsgruppe ihrer Organisation aufbauen.
Solche Beziehungen werden immer wichtiger, da sich die Sicherheit der „Shift Left“-Bewegung anschließt und schließlich zu einem immer wichtigeren Teil der Anwendungskonstruktpipeline wird – Fortschritts- und Sicherheitsgruppen müssen sorgfältig zusammenarbeiten, um wiederholbare Verfahren zu entwickeln, die zu sicherer Software führen Anwendung.
Dies ist also DevSecOps, eine Erweiterung des DevOps-Designs, bei der die Sicherheit in jeder Phase des DevOps-Verfahrens einen Sitz am Tisch hat.
Und wenn man bedenkt, dass es sich natürlich um eine kollektive Aktivität handelt, einschließlich der Sicherheits- und Fortschrittsgruppen, passt sich die Risikomodellierung sorgfältig diesem Design an.
Der iterative Charakter des Gefahrenmodellierungsansatzes passt gut zum DevOps-Verfahren.
Jedes Mal, wenn beispielsweise eine ganz neue „Strategie“-Stufe erreicht wird, besteht die Möglichkeit einer Gefahrenmodellierung.
Mit jedem brandneuen Sprint oder jeder neuen Version kann dieses Gefahrendesign genauer untersucht und modifiziert werden.
Da ihr Wert als Teil des DevSecOps-Designs jetzt identifiziert wurde, ist es sehr wahrscheinlich, dass die Weiterentwicklung der Gefahrenmodellierung schnell dazu führen wird, dass die Praxis allgemeiner angenommen wird.
Verfügbar für alle.
Die Risikomodellierung kann standardmäßig von Spezialisten und Ingenieuren mithilfe von Whiteboards durchgeführt werden.
Mit der Zeit ging es bei der Weiterentwicklung von Softwareanwendungen jedoch tatsächlich darum, sich schnell zu bewegen, mit einer Kultur des ständigen Kombinierens und Veröffentlichens.
Dies, gepaart mit Fortschrittsgruppen, die sich mit vielen – und sogar Hunderten – von Diensten gleichzeitig befassen, legt nahe, dass der manuelle „Whiteboard“-Ansatz der Gefahrenmodellierung größtenteils unlogisch ist.
Es ist häufig nicht nützlich und definitiv nicht skalierbar.
Die Gefahrenmodellierung musste tatsächlich weiterentwickelt werden, um mit der Geschwindigkeit und den Anforderungen der Weiterentwicklung von Softwareanwendungen Schritt zu halten.
Da die Sicherheit für die meisten Unternehmen mittlerweile ein Anliegen auf Vorstandsebene ist, wurde sie letztendlich zu einer entscheidenden Fähigkeit für Magnaten.
Es ist jetzt als wichtige Praxis für die Sicherheit von Softwareanwendungen anerkannt.
In den Vereinigten Staaten empfiehlt beispielsweise das National Institute for Standards and Innovation, dass die Gefahrenmodellierung als Teil seiner empfohlenen Mindeststandards für die Bestätigung des Codes durch Lieferanten oder Designer durchgeführt wird.
Bis vor kurzem war die Modellierung von Gefahren noch hauptsächlich die Domäne der Sicherheitsspezialisten einer Organisation.
Jetzt jedoch zeigt die Einführung von Open-Source-Tools – die nächste sinnvolle Maßnahme zur Weiterentwicklung der Gefahrenmodellierung –, dass sie auch Designern zur Verfügung stehen – ein wesentlicher Bestandteil des DevSecOps-Designs.
Es gibt derzeit leicht verfügbare Angebote auf dem Markt, die für die Verwendung durch Sicherheitsgruppen und Designer erstellt wurden und Designvorlagen, vordefinierte Datenbanken mit typischen Risiken und benutzerfreundliche Bedienfelder sowie die Möglichkeit zum Sammeln von Gefahreninformationen von Open International umfassen Bibliotheken.
Die Gefahrenmodellierung ist eigentlich eine lange Methode aus der manuellen Whiteboard-Technik.
Open-Source-Tools werden das Vorgehen bei der Risikomodellierung verändern.
Indem sie es zu einer zunehmend einfachen und allgemein akzeptierten Praxis machen, werden sie einen wesentlichen Einfluss auf den geschützten Stil haben.
Da die Lieferpipeline schneller und komplexer wird und die Risikolandschaft immer eleganter wird, stellen die Vorteile von Open-Source-Tools zur Risikomodellierung, die eine zuverlässige DevSecOps-Methode ermöglichen, eine wesentliche Maßnahme dar, um einen wirklich sicheren Softwareanwendungsstil zu erreichen.
Stephen de Vries ist Mitbegründer und CEO von IriusRisk.
Erfahren Sie mehr über Anwendungssicherheit und Codierungsanforderungen.
Wie Ivanti das Spot-Management mit einer Sicherheitsbrille betrachtet.
Von: Aaron Tan.
Immer mehr ANZ-Organisationen erwärmen sich für DevSecOps.
Von: Aaron Tan.
Gefahrenmodellierung und DevOps: Eine Zusammenarbeit im Entstehen.
Von: Will Kelly.
Wie GitHub die Weiterentwicklung sicherer Softwareanwendungen vorantreibt.
Von: Aaron Tan.