:quality(80)/p7i.vogel.de/wcms/8f/a0/8fa038067940f4f5c49215cbb247b622/0112519526.jpeg "Auch Mendix 10 bekam ordentlich KI unter die Haube: Ein anpassbarer Best Practice Bot, ein Data Validation Bot sowie ein Schritt in Richtung generativer KI mit Mendix Chat sollen das Assist-Portfolio an KI-gestützten Entwicklungstools ergänzen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/ac/c6/acc6dd1a0d33df772c9c921d3dd557de/0113763472.jpeg "Melden Sie sich jetzt zum ESE 2023 an und profitieren Sie vom Frühbucherrabatt, der bis zum 31. Oktober gilt. (Bild: VCG )")
:quality(80)/p7i.vogel.de/wcms/96/cf/96cf8ee3ce89479620a24efd9239f673/0111389170.jpeg "Neil Puthuff, RTI (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/07/4b/074bbdcc761d46e8e31fe76c3a2f4f8f/0109934783.jpeg "Green Hills Software ist auch 2023 auf der Embedded World vertreten und zeigt an seinem Stand in Halle 4, 325 verschiedene Demos für Embedded Ingenieure. (Bild: Copyright (c) 2018 ParabolStudio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/92/a3/92a329ed3731c287e1a0d82c12d8a80d/0112796671.jpeg "Die Revolution durch Künstliche Intelligenz: Eine Betrachtung des Potenzials (Bild: Copyright (c) 2022 Blue Planet Studio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/a4/54/a4541f4c599a4a7ec5321d90d5f1645b/0112110043.jpeg "Die Anzeigen des Kombiinstruments und des zentralen IVI verschmelzen. In modernen Fahrzeugen spielt die Software eine wichtige Rolle. (Bild: Bosch)")
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "(Bild: frei lizenziert)")
![Die ursprüngliche Richtlinie MISRA C:2012 [MISRA3] enthält 159 Vorgaben. (Bild: frei lizenziert)](https://cdn1.vogel.de/H4TpkUUxUA9NGq5-yPLmHlLM1j8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/5d/67/5d67e4c73c7d2ad87efc155a20b34c10/0111515949.jpeg "Die ursprüngliche Richtlinie MISRA C:2012 [MISRA3] enthält 159 Vorgaben. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/01/c0/01c0704317d4edaf0e573f722c7a9e3e/0107577806.jpeg "Mythen sind in der Embedded-Programmierung weit verbreitet. Wir stellen Ihnen einige vor und klären in einem zweiten Artikel, welche Fakten es gibt. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/3e/6d/3e6df867e075bbd32be8a440e80c9f95/0112830296.jpeg "Android als Betriebssystem: Sowohl in der industrielle Automation oder Automobil setzt sich Android durch. Ein Vorteil des Betriebssystems ist die schnelle Java-Programmierung von Anwendungen auf Basis von Android APIs. (Bild: andrekheren )")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/ee/3e/ee3e6bd1548c02ee07ac5edd7725d5af/77955554.jpeg "Auf einem Embedded-Linux-System direkt lässt sich Software aufgrund der begrenzten Ressourcen nur schlecht debuggen. Das in Linux integrierte Tool GDB erlaubt, die Embedded Software über einen PC extern auf Fehler zu untersuchen. (Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/87/52/8752b159480d8cf75f7f58f702aa0ce7/0112816316.jpeg "Softwaretests: Mithilfe von künstilcher Intelligenz können sensible und gleichzeitig hochbeanspruchte Komponenten für den Einsatz im Weltraum getestet werden. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/a1/22/a12273ea61fe7f569b7b6a9f06493bc0/0110643930.jpeg "KI-Modelle spielen eine bedeutende Rolle in vielen Anwendungen, nicht zuletzt bei Lösungen für assistiertes oder gar autonomes Fahrens. (Bild: Mathworks)")
:quality(80)/p7i.vogel.de/wcms/31/90/3190c962e45b69b63d927a7625bfe71a/0108586440.jpeg "Bild 1: KI-Engineering braucht Systemverständnis. (Bild: Fraunhofer IOSB)")
:quality(80)/p7i.vogel.de/wcms/9a/9f/9a9fa3523309f9d3d5913fc064fdd92b/0107360831.jpeg "Software hilft beim Meistern der Herausforderungen des neuen Lieferkettenhesetzes. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/1e/d5/1ed5275a8a540a22af56f34386ac3bc8/0107856947.jpeg "Die neueste Version der Univeral Debug Engine ermöglicht die Steuerung der Prozessorkerne für das Debugging, den Test und tiefgreifende Systemanalysen innerhalb einer einzigen Debugger-Instanz. (Bild: PLS Programmierbare Logik & Systeme)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
Schutz von Maschinenidentitäten bei DevSecOps
„Wir haben ein DevOps-Team – aber keine Ahnung, was sie eigentlich den Tag über machen.“ Im Gespräch mit Sicherheitsverantwortlichen hört man diese oder ähnliche Aussagen nicht gerade selten. Mit Blick auf Maschinen, die Code austauschen und Daten konsumieren, muss es zwangsläufig mehr Kontrolle geben.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/bf/5fbfdf326d5dd/rti-logo-color-200px.jpg "rti-logo-color-200px.jpg (rti)"){kind=logo}
In DevOps-Teams werden traditionelle Sicherheitsmechanismen häufig nicht verwendet oder gar umgangen. Wir haben keinen Überblick und keine Kontrolle, was eigentlich passiert. Das ist sehr verwunderlich, denn der eigentliche Gedanke von DevOps „you build it, you run it“ sollte jedem Entwickler eigentlich klar machen, dass er alles, was er erstellt, eben auch pflegen muss. Eine spätere Architekturänderung aufgrund eines Sicherheitsvorfalls bedeutet immer sehr großen Mehraufwand.
Woran liegt es also, dass CISOs so häufig das Gefühl haben, ihnen entgleite das Thema? Alle Unternehmen, die ihre Zukunft in der Digitalisierung sehen, sind auch Softwareunternehmen. Jeder Code, der entwickelt wird, könnte unter Umständen unzählige Jahre laufen und das mit zahlreichen unentdeckten Sicherheitslücken.
Ein Teil der Lösung sollten Schulungen für Entwickler zum Thema sichere Programmiertechniken beinhalten. Diese müssten dann nicht nur an einem Tag, sondern fortlaufend neuen aber auch alten Code überprüfen. Im Fokus stehen natürlich weitverbreitete und genutzte Programme von Herstellern wie Microsoft und Adobe. Für Angreifer sind diese Programme lohnenswerte Ziele.
Gleichzeitig wird es jedoch auch immer interessanter für sie, gezieltere Angriffe durchzuführen. Die Wahrscheinlichkeit, entdeckt zu werden, ist viel geringer und die erwartenden „Gewinne“ sind häufig größer und besser einschätzbar. Vor kurzem sorgten zwei Zeilen böswillig eingefügtem Javascript-Code bei einer Fluggesellschaft dazu, dass Kreditkartendaten entwendet wurden. Unternehmen müssen in der Lage sein zu erkennen, ob ihre laufenden Anwendungen verändert wurden.
Das Problem bei gezielten Angriffen ist, dass sie fast immer auf ein bestimmtes Unternehmen zugeschnitten sind. Für Angreifer kann es durchaus interessant sein, Informationen im Wert von vielen Millionen Euro für wenige Tausend Euro zu verkaufen, wenn diese Summe ein doppeltes Jahreseinkommen bedeutet.
Beispiele für Code, von dem Angreifer nach einer Manipulation profitieren, können aber auch kleine Vorgänge sein. Wenn bei einem Pfandautomaten ab einer bestimmten Anzahl eine angenommene Flasche nicht mehr gezählt wird. Oder aber, wenn bei Inventarisierungen Fehler auftreten und zunehmend Anschaffungen getätigt werden, die nirgendwo auftauchen.
Durch DevOps und die Digitalisierug entstehen auch häufig in Kombination neue Sicherheitsthematiken auf welche unsere traditionellen Sicherheitsmethoden noch keine Antworten liefern. Security by Design muss daher von Anfang an gedacht und umgesetzt werden.
Lösungsansatz automatisierte Verwaltung von Maschinenidentitäten
In großen Unternehmen agieren einzelne DevOps-Abteilungen häufig ohne zentrale Aufsicht, Planung und Koordination. Viel zu selten sind Sicherheitsexperten Bestandteil von DevOps Teams und werden nur manchmal und häufig viel zu spät hinzugezogen. Dabei ist Sicherheit gar kein Widerspruch zu DevOps. Ein Grundsatz von DevOps ist das eliminieren von „waste“, also unnötigen Vorgängen.
Man sollte sich also bewusst machen, dass nachträgliche Sicherheitsanpassungen gegen die Grundsätze von DevOps verstoßen und daher jederzeit präsent sein sollten. Da dies jedoch leider noch nicht überall verstanden wird, bemühen wir neue Terminologien wie DevSecOps. DevOps wählen selbst die Tools aus, die für ihre Erfordernisse am besten geeignet sind. Dies führt zu einer Vielzahl von Werkzeugen und Lösungen für die verschiedenen CI/CD-Pipelines (Continuous Integration/Discontinuous Delivery).
Aufgrund der Vielzahl der Quellen der Maschinenidentitäten sind die Sicherheitsexperten dann nicht in der Lage, auf Sicherheitsvorfälle und Audit-Anfragen so schnell als nötig zu reagieren. Und wenn sie versuchen, Maschinenidentitätsrichtlinien und -standards unternehmensweit einheitlich zu bewerten oder durchzusetzen, wissen sie nicht einmal, wo sie anfangen sollen.
Moderne Technologien müssen sicherstellen, dass nur autorisierter Code ausgeführt wird und erkennen, ob Änderungen am Programmiercode durchgeführt wurden. Die meisten der heute in Netzwerken verarbeiteten Daten und noch mehr in der Zukunft, werden über APIs von Maschinen, nicht von Menschen konsumiert. Unternehmen müssen also sicherstellen, dass sie kontrollieren, welche Prozesse auf den Rechnern laufen und dies fortlaufend und möglichst automatisiert.
Die Lösung dieses Problems bedarf einer breiten Akzeptanz, sie muss einfach zu bedienen sein und sehr leicht in einer Multi-Cloud-Umgebung betrieben werden können. Der erste Schritt zum Aufbau einer automatisierten Lösung für den Schutz der Maschinenidentität erfordert daher eine Standardisierung der Maschinenidentitätsprozesse.
Mit einem solchen Dienst können Firmen beginnen, die im gesamten Unternehmen verwendeten Zertifikate zu standardisieren und zu kontrollieren, sowie in der Folge die sichere Softwarebereitstellung zu beschleunigen. Ein wesentlicher Vorteil der Standardisierung des Prozesses der Maschinenidentitäts-Ausstellung, beispielsweise Zertifikate in einer Weise, die den Anforderungen von Informationssicherheit, Betrieb, DevOps und Softwareentwicklung entspricht, besteht darin, dass die Ausstellung zentral gesteuert und kontrolliert werden kann.
Unternehmen können so die Bereitstellung sicherer und vertrauenswürdiger Zertifikate beschleunigen. Darüber hinaus muss die Zertifikatsausstellung in DevOps-Toolchains integriert werden. Die festgelegten Richtlinien zur Maschinenidentität müssen in allen DevOps-Umgebungen durchgesetzt werden. Die Verwendung von vertrauenswürdigen Zertifikaten unterstützt außerdem bei der Einhaltung von Compliance und hilft bei externen Auditierungen.
Fazit
Durch die Automatisierung des Schutzes der Maschinenidentität für DevOps können Unternehmen sicherstellen, dass den eigenen internen Richtlinien entsprochen wird. Auf diese Weise nutzen sie die Best Practices von traditionellen PKI- und Sicherheitsexperten, erhalten aber Zertifikate in der Geschwindigkeit von DevOps-Workflows.
Die Vorteile der Automatisierung zur Verkürzung der Bereitstellungszeit für Zertifikate können tiefgreifend sein. Für einen großen Einzelhändler konnte die Automatisierung die Bereitstellungszeit für Zertifikate von fünf Tagen auf nur wenige Minuten reduzieren. Diese Art der Automatisierung beseitigt den Anreiz für DevOps-Abteilungen, kreative Wege zu finden, um die Ausstellung von Zertifikaten zu umgehen, ohne die Zeitpläne oder Workflows von DevOps zu beeinflussen.
Letztlich sorgt dieser Ansatz für mehr Transparenz und dadurch auch mehr IT-Sicherheit für das Unternehmen, aber auch alle Kunden, die später die bereitgestellten Services nutzen wollen. Letztlich kann nur so der lange Weg von DevOps zu DevSecOps gelingen.
:quality(80)/images.vogel.de/vogelonline/bdb/1541100/1541153/original.jpg "(Parasoft)")
Sichere, agile Softwareentwicklung: Muss es DevSecOps oder SecDevOps heißen?
:quality(80)/images.vogel.de/vogelonline/bdb/1548700/1548750/original.jpg "Da DevOps die Abläufe in der Software-Entwicklung rasant beschleunigt, können automatisierte Security-Tests helfen, gefährliche Fehler im Code zu erkennen. (Checkmarx)")
10 Tipps für die DevSecOps-Strategie
:quality(80)/images.vogel.de/vogelonline/bdb/1565900/1565926/original.jpg "Da Entwicklung und Betrieb gemeinsam für Continuous-Integration und -Deployment verantwortlich sind, müssen sie auch Sicherheit als Prozess gemeinsam umsetzen. (Oliver Rowley - Unsplash.com)")
Security und DevOps: DevSecOps in 4 Schritten umsetzen
Dieser Beitrag stammt von unserem Partnerportal Dev-Insider.de.
* Jens Sabitzer, Solution Architect DACH bei Venafi.
(ID:46224407)
:quality(80)/p7i.vogel.de/wcms/ad/77/ad7788dc28683039ad3e32603041de35/0104992035.jpeg "In verteilten und automatisierten Umgebungen ist es wichtig, die maschinellen Identitäten im Auge zu behalten. (© AndSus – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1948300/1948306/original.jpg "Verschiedene Codierungsstandards existieren, um die Entwicklung von sicherer Software zu erleichtern. Tools zur Durchführung von Statischer Analyse oder Statischen Anwendungstests (SAST) helfen dabei, diese konsequent einzuhalten. (Parasoft)")