Was ist CI/CD-Sicherheit?

Veröffentlicht 30. Oktober 20233 Minuten (Lesedauer)
URL kopieren

Überblick

CI/CD-Sicherheit dient dem Schutz von Code-Pipelines durch automatisierte Prüfungen und Tests, um Schwachstellen bei der Softwarebereitstellung zu vermeiden. Durch die Integration von Sicherheit in Ihrer Pipeline können Sie Ihren Code besser vor Angriffen schützen, Datenlecks vermeiden, die Compliance mit Richtlinien unterstützen und für Qualitätssicherung sorgen.

Was ist CI/CD?

CI/CD (Continuous Integration, Continuous Delivery und Continuous Deployment) ist eine Folge von oft als Pipeline visualisierten Schritten, die durchgeführt werden müssen, um eine neue Version einer Software zu liefern. CI/CD führt Automatisierung und kontinuierliches Monitoring in die Anwendungsentwicklung ein und hat das Ziel, menschliche Fehler zu minimieren und einen Prozess zum schnelleren Entwickeln von hochwertigem Code aufrechtzuerhalten.

In der Regel enthalten die zentralen Phasen der CI/CD-Pipeline keine Sicherheitsmaßnahmen, sodass zusätzliche Schritte zur Absicherung des Entwicklungsprozesses unternommen werden müssen.
Cloudnative CI/CD-Pipelines erstellen

Red Hat Ressourcen

Häufige Herausforderungen bei der Sicherheit von CI/CD

Die schnelle Entwicklung und Bereitstellung ohne angemessene Sicherheitsvorkehrungen kann die Pipeline beispielsweise folgenden Risiken aussetzen:

  • Offenlegen sensibler Daten gegenüber externen Quellen
  • Verwenden von unsicherem Code oder unsicheren Komponenten von Drittanbietern
  • Unbefugter Zugriff auf Quellcode-Repositories oder Build-Tools 

Das Identifizieren und Beheben von Schwachstellen während des gesamten Entwicklungszyklus stellt sicher, dass Codeänderungen gründlich getestet werden und den Sicherheitsstandards entsprechen, bevor sie in der Produktion bereitgestellt werden.

Warum CI/CD für DevSecOps wichtig ist

 

DevSecOps (Development, Security und Operations) ist ein Konzept für Unternehmenskultur-, Automatisierungs- und Plattformdesign, das Sicherheit als gemeinsame Verantwortlichkeit im gesamten IT-Lifecycle integriert. Eine wichtige Komponente von DevSecOps ist das Einführen einer sicheren CI/CD-Pipeline. 

CI/CD ist für DevSecOps von zentraler Bedeutung, da es Sicherheitsprüfungen automatisiert und frühzeitig in den Entwicklungsprozess einbindet. So wird ein schnelles Feedback über potenzielle Schwachstellen und ein proaktiver Sicherheitsansatz im gesamten Anwendungs-Lifecycle ermöglicht.

Das Konzept der „Linksverschiebung“ ist ein grundlegendes Prinzip in CI/CD und DevSecOps. Dabei geht es darum, bestimmte sicherheitsorientierte Aufgaben und Aktivitäten früher in den Softwareentwicklungsprozess zu integrieren. Zur Praxis der frühzeitigen Implementierung von Sicherheitsmaßnahmen gehören das Automatisieren von Testverfahren, die nach Sicherheitslücken suchen, das Überprüfen von Codeänderungen, sobald sie vorgenommen werden, und das Fördern einer allgemeinen Kultur des proaktiven Sicherheitsbewusstseins bei Entwicklungs- und Operationsteams.

Förderung einer DevSecOps-Kultur

Schritte zum Sichern einer CI/CD-Pipeline

Planungsphase: Es ist wichtig, in den einzelnen Phasen der Pipeline Sicherheitsprüfungen durchzuführen, damit Ihr Code sicher ist und Sicherheitsstandards einhält. Der erste Schritt besteht darin, eine Produkt-Roadmap zu entwickeln, anhand derer potenzielle Sicherheitsbedrohungen ermittelt werden können. Dies wird als Bedrohungsmodellierung (Threat Modeling) bezeichnet. Beim Threat Modeling werden potenzielle Schwachstellen ermittelt und Gegenmaßnahmen ergriffen, um diese Risiken zu mindern. 

Programmierung: Wenn die Entwicklungsteams mit dem Schreiben des Codes beginnen, stellen Sie sicher, dass der Code entsprechend den vordefinierten Standards und Designrichtlinien erstellt wird. Verwenden Sie Quellcode-Scanner, um diejenigen Teile des Codes aufzuspüren, die für Sicherheitsbedrohungen anfällig sein könnten.

Entwicklung: Sobald Entwicklungsteams ihren Quellcode in ein gemeinsames Repository übertragen, stellen Sie sicher, dass automatisierte Tests ausgelöst werden, um die Builds auf ihre Übereinstimmung mit den Anforderungen zu überprüfen. 

Tests: Sobald ein Build erfolgreich ist, testen Sie die Software auf Fehler. Bei neuen Funktionen werden weitere automatische Tests durchgeführt. 

5 Wege zu mehr Sicherheit

Wie Red Hat helfen kann

Red Hat® OpenShift® ermöglicht Unternehmen den Einsatz von CI/CD zur Automatisierung der Entwicklungs-, Test- und Deployment-Phasen von Anwendungen auf On-Premise- und Public Cloud-Plattformen. Red Hat OpenShift und Red Hat Ansible® Automation Platform sowie Partnertechnologien bilden eine Basis für DevSecOps und unterstützen Sie beim Lösen von Sicherheitsfragen im gesamten Lifecycle Ihrer Container-Anwendung, einschließlich Entwicklung, Deployment und Runtime.

Für einen reibungslosen Geschäftsbetrieb ist es entscheidend, die Softwarelieferkette vor potenziellen Schwachstellen zu schützen. Die Sicherheit der Softwarelieferkette für cloudnative Anwendungen erfordert jedoch häufig einen monatelangen Aufwand für große Engineering- und Entwicklungsteams. Red Hat Trusted Software Supply Chain ist eine Suite von Sicherheitslösungen, die sich auf die Sicherheit von Softwarekomponenten und Abhängigkeiten in einer frühen Phase des Softwareentwicklungs-Lifecycles sowie auf die Build und Release Pipelines für Audits und Maßnahmen im Falle von Sicherheitsproblemen konzentriert. Wir verwenden DevSecOps-Praktiken zur Integration von Sicherheitsbedingungen für eine schnellere Wertschöpfung in den verschiedenen Phasen der Softwarefabrik – von inkonsistenten manuellen Prozessen zu konsistenten, wiederholbaren und automatisierten Abläufen. Wenn Unternehmen ihre Resilienz in der Softwarelieferkette erhöhen, stärken sie das Vertrauen ihrer Nutzenden. 

Red Hat Advanced Cluster Security (ACS) für Kubernetes ist die innovative Kubernetes-native Sicherheitsplattform, mit der Unternehmen cloudnative Anwendungen noch sicherer entwickeln, bereitstellen und ausführen können. Die Lösung trägt zum Schutz von containerisierten Kubernetes-Workloads in den meisten Clouds und hybriden Plattformen bei, darunter Red Hat OpenShift, Amazon Elastic Kubernetes Service (EKS), Microsoft Azure Kubernetes Service (AKS) und Google Kubernetes Engine (GKE).

Red Hat Advanced Developer Suite, inklusive Red Hat Trusted Artifact Signer, schützt Ihre Softwarelieferkette durch automatisches Signieren, kryptografisches Verifizieren und durchgängiges Nachverfolgen der Herkunft von Softwareartefakten.

E-Book: Automatisierung von DevSecOps mit OpenShift

Der offizielle Red Hat Blog

Lernen Sie mehr über unser Ökosystem von Kunden, Partnern und Communities und erfahren Sie das Neueste zu Themen wie Automatisierung, Hybrid Cloud, KI und mehr.

Red Hat Testversionen

Unsere kostenlosen Testversionen unterstützen Sie dabei, praktische Erfahrungen zu sammeln, sich auf eine Zertifizierung vorzubereiten oder zu bewerten, ob ein Produkt die richtige Wahl für Ihr Unternehmen ist.
Weiterlesen

Weiterlesen

Was ist Confidential Computing?

Beim Confidential Computing wird hardwarebasiertes Computing eingesetzt, um Daten zu schützen, wenn sie nicht im Ruhezustand sind oder übertragen werden – also während der tatsächlichen Nutzung.

Was sind SPIFFE und SPIRE?

SPIFFE und SPIRE sind 2 Open Source-Projekte für das Identitätsmanagement in dynamischen und vielfältigen Computing-Umgebungen. Gemeinsam lösen sie viele Sicherheitsprobleme.

Was ist Zero Trust?

Erfahren Sie mehr über Zero Trust, einen Ansatz zur Entwicklung von Sicherheitsarchitekturen, der auf dem Grundsatz basiert, dass jede Interaktion einen nicht vertrauenswürdigen Ausgangsstatus aufweist.

Ressourcen zu Sicherheit

Zugehörige Inhalte

Verwandte Artikel