SnykCon Top-Insights: So bringen Sie Dev-Fokus in Ihr AppSec-Programm

Auf dem Weg zu starker Anwendungssicherheit sind einige Hürden zu nehmen. Die erste tut sich bereits bei der Umsetzung eines hierfür geeigneten Programms auf. Wie wichtig hierzu ein Shift Left ist, darüber findet man zwar Unmengen an Content, der beim produktiven Einstieg aber nur wenig hilft. Blickt man zudem auf Vorzeigebeispiele für ausgereifte AppSec-Strategien, kann die anfängliche Motivation schnell der Ernüchterung weichen, dass all das ohnehin unerreichbar zu sein scheint. Doch wie so vieles in der Software-Entwicklung setzen sich auch die Methodiken für mehr Anwendungssicherheit nicht über Nacht um. Etwas Orientierung kann auf dem Weg dorthin aber durchaus hilfreich sein.

Vergangenes Jahr auf der SnykCon haben wir das Thema aus verschiedensten Blickwinkeln beleuchtet und diverse Tipps und Best Practices dazu vermittelt. So etwa auch in zwei Gesprächen mit Kunden von Snyk, in denen es speziell darum ging, wie Sie Sicherheit als Kulturthema in ihre Dev-Prozesse tragen und so einen der Grundsteine für starke Anwendungssicherheit legen. So bot Per Olsson vom norwegischen Business-Software-Anbieter Visma spannende Einblicke dazu, welche Stationen seine Entwicklung vom klassischen Developer zum AppSec-Advisor besonders prägten. Daneben hatten wir drei Security-Experten aus unterschiedlichen Branchen in einer Panel-Diskussion zu Gast. In dieser ging es um die Ausgestaltung effektiver Security-Programme.

Die Wegmarken, Meilensteine und Herausforderungen auf dem Weg zur kulturellen Umsetzung von App-Security und dem zugehörigen Programm haben wir im Folgenden für Sie zusammengefasst.

Aufziehen eines AppSec-Programms

Was ist AppSec?

Bevor der Startschuss für Ihr Programm fällt, ist dies tatsächlich eines der wichtigsten Fragen. Denn wie Olsson hierzu äußerst treffend bemerkt, beginnt AppSec überhaupt nicht bei den Anwendungen selbst, sondern vielmehr bei den Menschen, die sie umsetzen. Den Entwicklern und Leadern also, außerdem aber etwa auch den Teams aus QA, Design und Legal: Erst durch ihr Mitwirken kann das Fundament entstehen, auf das sich ein effektives AppSec-Programm stützen kann. Denn Security Incidents resultieren in aller Regel aus menschlichen Fehlern – die angesichts immer kürzerer Deadlines für Feature-Releases zudem noch wahrscheinlicher werden. Aufgaben wie diese generieren schließlich einen klar messbaren ROI, sodass Sicherheitsthemen oftmals ins Hintertreffen geraten. Zuallererst gilt es daher, Security zu einer Kernpriorität zu machen.

Peu à peu ans Ziel

Unisono lautete von allen Experten die Botschaft, dass ein umfassendes AppSec-Programm nicht von jetzt auf gleich realisiert ist. Vielmehr gelte es, sich sukzessive vorzuarbeiten – und dabei vor allem auch nicht bereits in früheren Phasen irgendwelche Arten von Vergleichen anzustellen. So begann man etwa bei Visma mit einer kleinen Arbeitsgruppe, die neben einem Projekt-Lead noch eine Handvoll Entwickler umfasste. Ganz ähnlich verfuhren auch Nicholas Vinson, Head of DevSecOps bei Pearson, und Gagan Bhatia, Head of Cyber Security bei 10x Banking: Im Projektmanagement stießen die Gäste unseres Panels Initiativen an, in deren Rahmen ein erfahrener Security-Engineer gemeinsam mit einem kleinen Team interessierter Entwickler Anforderungen und potenzielle Bedrohungen identifizierte.

Die dabei gesammelten Erfahrungen rund um Secure Coding trug man dann in die breiter gefassten Dev-Teams hinein. So ließ sich nicht nur ihr Auge für Sicherheitsthemen schärfen, sondern auch ihre Kreativität, diese ins SDLC einfließen zu lassen. Schritt für Schritt konnte sich Security so auch kulturell immer tiefer als Pfeiler in die Arbeit jedes Einzelnen einprägen.

Lockere Zügel ohne Kontrollverlust

Auf dem Weg dorthin wichtig ist zudem, dass das Security-Team weniger als Quasi-Vormund denn als Richtungsgeber der Entwickler auftritt. Anstelle der klassische Silogrenzen zwischen beiden Funktionsbereichen tritt also eine transparente, von engem Austausch geprägte Kultur der Zusammenarbeit. So lassen sich dann auch die jeweils spezifischen Anforderungen, Zielsetzungen und Delivery-Methodiken ideal abbilden. Gestützt auf die passenden Tools im Tandem mit der nötigen Orientierung werden Entwickler so aktiv ins AppSec-Programm einbezogen, was wiederum zur Stärkung ihres Commitments für Sicherheit in der Programmierung beiträgt.

Von der Reife zum Feinschliff

Optimierung, Optimierung, Optimierung

Richtig los geht es dann, wenn das Programm einmal steht und teamübergreifend von Security und Entwicklung bis hin zum Leadership-Team zunehmenden Zuspruch erfährt. Von hier ab kann es an die Evaluierung der einzelnen Tools und Workflows gehen, dies nach Olssons Einschätzung am besten, indem man direkt in die einzelnen Dev-Teams hineinhorcht. So ließe sich feststellen, wie gut sich die Prozesse in ihren Alltag einpassen, an welchen Punkten womöglich Bedrohungen durchs Raster fallen, und letztlich auch die Security-Effizienz insgesamt verbessern. Dies einmal durch den Shift Left von Security-Aufgaben einschließlich ihrer bestmöglichen Automatisierung, außerdem durch durchgängiges Testing zur Erhebung fundierter Daten, auf die gestützt das AppSec-Programm laufend optimiert wird.

Zielführend definierter Erfolg

Eine Schwierigkeit besteht im Security-Kontext häufig in der Erfolgsmessung. Denn anders als sich etwa die Taktung von Feature-Releases direkt messen lässt, ist es nur schwer zu quantifizieren, zu wie vielen Incidents es dank der Initiativen des Security-Teams nicht gekommen ist. Toolseitig wird zwar jede Menge an Daten generiert, die dabei helfen könnten, doch lassen sie sich nur schwer in einen konkreten Kontext setzen. Stefan Steglich, Application Security Product Manager bei Sky Betting & Gaming und Dritter im Bunde unserer Panel-Diskussion, betont hier die Faktoren,

die das AppSec-Programm direkt betreffen. Als Erfolg zu verbuchen sei etwa auch so vermeintlich Unbedeutendes wie positives Feedback zum Programm oder die Zunahme der Nutzungsrate bei den für seine Umsetzung implementierten Security-Tools. Prinzipiell also alles, was den Fortschritt des Programms sinnvoll abbildet.

Konkrete Erfolgskennzahlen

Vinson empfiehlt hierfür die Quantifizierung von Anforderungen an das Programmdesign, operativen Faktoren und Reifegrad der Security-Methodiken. Grundlage für Erstere bilden die Ergebnisse, die beim Threat Modelling ermittelt werden. Anhand dieser lässt sich feststellen, zu welchem Grad ein AppSec-Programm in der Lage ist, identifizierte Risikopotenziale zu adressieren und neue Bedrohungen bei ihrem Auftreten zutage zu führen. Operative Faktoren umfassen die Zahlen im Zusammenhang mit Schwachstellen, darunter die Ergebnisse aus SAST-Scans, die Anzahl erfolgreicher Fixes etc. Anhand der auf dieser Basis ermittelten Trends lassen sich die Anforderungen an das Programmdesign präziser definieren. Die Bestimmung des Reifegrads ist dann gewissermaßen die Zusammenführung der Ergebnisse aus allen erfassten Kennzahlen. So entsteht ein Gesamtbild zum Status quo des Programms, das über alle Teams hinweg Aufschluss darüber liefert, inwieweit Anforderungen erfüllt, Security-Aufgaben durch Kapazitäten gedeckt und Grundsätze sicherer Programmierung umgesetzt wurden. All dies ist entscheidend, um gezielt für die nächsten Schritte zu planen.  

Developer-Fokus als AppSec-Kernprämisse

Ganz unabhängig von ihrer Größe stehen Security-Teams immer vor den gleichen Herausforderungen. Denn letztlich geht es immer darum, den Plan hinter dem Programm wie auch die zugehörigen Kennzahlen an die Teams aus der Entwicklung zu kommunizieren. Ein Prozess, der quasi nie aufhört – genauso wie die Entwicklung des Programms. Entscheidend für die effektive Umsetzung ist dabei nicht zuletzt auch die Wahl der passenden Tools. Zu allgemein oder theoretische gehaltene Konzepte bringen dabei wenig für die spezifischen Anforderungen im Security-Kontext. Entsprechend wenig nützen daher Scanning-Tools, die Daten en masse liefern, deren größere Bedeutung dann aber allenfalls von Security-Experten, nicht aber von Entwicklern verstanden wird.

Genau hier setzt Snyk mit einer umfassenden Plattform an, die App-Security aus Sicht aller Beteiligten adressiert. Denn Entwickler erkennen und beheben Schwachstellen damit direkt am Code – innerhalb von kaum mehr als 5 Minuten. So bleibt Ihr AppSec-Programm auf Kurs, statt unnötig ausgebremst zu werden. Den Einstieg ermöglichen wir Ihnen sogar vollkommen kostenlos. Registrieren Sie sich einfach hier für ein Snyk Konto und erleben Sie, was Millionen von Entwicklern mit unseren Tools bereits jetzt tun: Schneller entwickeln. Mit Sicherheit.