DevSecOps

Automatisierte Lösungen verdrängen statisches und dynamisches Security Testing bei DevOps

Im Jahr 2019 werden Unternehmen in über 70% ihrer DevOps Initiativen automatisierte Scanner im Einsatz haben, um Sicherheitslücken aufzuspüren und Konfigurationen zu überprüfen, sagen die Marktforscher von Gartner. Das bislang übliche statische oder dynamische  Application Security Testing ist zu schwerfällig,  komplex und nicht skalierfähig oder ungeeignet für den Einsatz im DevOps Bereich. Bereits in der Vergangenheit waren Open Source Software (OSS) Komponenten bei der Überprüfung von Applikationen in der Produktionsphase mit als 'ernst' oder 'kritisch' bezeichneten Risiken behaftet gefunden worden.

Gartner empfiehlt kurz- und mittelfristig besonderes Augenmerk auf die Identifikation und das Scannen von Konfiguration und Schwachstellen bei OSS Modulen zu legen.

Aktuelle Zahlen zur Risikobewertung für Downloads wie z. B. Maven sind in der Gartner-Studie " DevSecOps: How to Seamlessly Integrate" nachzulesen, die unser Partner Sonatype zum Download hier zur Verfügung stellt.