Mit der jüngsten Entdeckung mehrerer schwerwiegender Schwachstellen in gängigen Entwicklungspaketen ist die Sicherheit der Anwendungsentwicklung für viele IT-Führungskräfte zunehmend wichtiger geworden. Ereignisse wie die Entdeckung von Schwachstellen in Log4j sowie andere erhebliche Schwachstellen, die inzwischen identifiziert wurden, haben Unternehmen dazu gezwungen, ihre Vorgehensweise bei der Anwendungsentwicklung gründlich zu prüfen, um ihre Denkweise und Kultur zu verbessern und letztendlich einen „DevSecOps“-Ansatz für das SAP-Änderungsmanagement zu automatisieren.
DevSecOps ist ein relativ neuer Begriff in der SAP-Welt und steht für Entwicklung, Sicherheit und Betrieb. In der Vergangenheit wurde die Sicherheit von einem isolierten Team unmittelbar vor der Freigabe in die Produktion angewendet. Dieser veraltete Ansatz ist problematisch, insbesondere für Unternehmen, die einen agilen Ansatz zur Verwaltung ihrer SAP-Umgebung einführen möchten.
Die heutige „Shift Left“-Methodik betont, wie wichtig es ist, potenzielle Probleme so früh wie möglich im Entwicklungszyklus zu erkennen, damit sie behoben werden können, bevor weitere Schritte unternommen werden. Aus diesem Ansatz entstand die Vision von DevSecOps.
DevSecOps betont die Notwendigkeit, Sicherheit frühzeitig als integralen Bestandteil des gesamten Entwicklungslebenszyklus einzubeziehen. Dazu müssen die richtigen Sicherheitstools in den Entwicklungsworkflow integriert und der Prozess anschließend automatisiert werden, um sicherzustellen, dass die Entwicklung nicht verlangsamt wird.
Einführung eines DevSecOps-Ansatzes
Eine Möglichkeit, mit der Einführung eines DevSecOps-Ansatzes zu beginnen, besteht darin, in die besten Änderungsmanagement- und Sicherheitscompliance-Lösungen zu investieren, um Ihre vorhandenen Entwicklungsumgebungen zu erweitern.
Zunächst einmal ist es sehr empfehlenswert, ein Änderungsmanagement-Tool zu implementieren, das einen durchsetzbaren Workflow-Prozess erstellt. Es muss in der Lage sein, alle Änderungen von ihrer Entstehung in der Entwicklung über den komplexen Sicherheits- und Testprozess bis hin zur endgültigen sicheren Freigabe in der Produktion zu verwalten.
Als Nächstes benötigen Ihre Teams ein automatisiertes Codeanalysetool, das den SAP-Code gründlich auf Probleme hinsichtlich Sicherheit, Compliance, Leistung, Robustheit, Wartbarkeit und sogar Datenverlust scannen kann.
Best Practices schreiben vor, dass diese Lösungen sinnvoll integriert werden sollten, um ihre Nützlichkeit und Effektivität zu optimieren und gleichzeitig die Akzeptanz bei Ihren Teams zu fördern. Durch die Erstellung einer nahtlosen DevSecOps-Lösung können Ihre Teams Sicherheit unbewusst in den Rahmen ihres Entwicklungsprozesses integrieren.
Was passiert, wenn Sie diese Technologien in Ihre Entwicklungsprozesse integrieren?
- Sicherheit ist automatisch in Ihren Änderungsverwaltungsprozess integriert.
- Sicherheitsüberprüfungen werden an mehreren Punkten im Entwicklungszyklus ausgelöst, um sicherzustellen, dass Schwachstellen und Codeprobleme so früh wie möglich erkannt (und behoben) werden.
- Die Ausbreitung nicht konformen Codes in der Landschaft wird verhindert.
- Der Änderungsmanagementprozess wird vereinfacht, da automatisch das richtige Tool zum richtigen Zeitpunkt aufgerufen wird.
- CAB- und Produktmanager können Produktionsfreigaben mit der Gewissheit genehmigen, dass die Änderungen einem strengen Sicherheitsüberprüfungsprozess unterzogen wurden.
Die Rev-Trac / Onapsis-Lösung
Rev-Trac hat vor kurzem eine strategische Partnerschaft mit Onapsis, dem von SAP ausgewählten Partner für Cybersicherheit, um dem Markt eine integrierte, erstklassige SAP DevSecOps-Lösung anzubieten. Diese Hand-off-Integration mit den Flaggschiffprodukten von Onapsis, Control for Code und Control for Transports, nutzt einen „Shift-Left“-Ansatz, um Sicherheitslücken und Codeprobleme zu identifizieren, bevor Transporte aus dem Entwicklungssystem freigegeben werden.
Als Teil des Entwicklungsworkflows übergibt Rev-Trac Objekte und Transporte automatisch an Onapsis Control zur eingehenden Analyse und wartet dann auf ein Ergebnis. Wenn das Ergebnis positiv ist, setzt Rev-Trac seinen Workflow fort. Wenn das Ergebnis jedoch negativ ist, wird die Fortsetzung der Transporte verhindert, bis die Entwickler die Probleme behoben haben.
Für SAP-Teams, die diese integrierte Lösung einführen, ergeben sich zahlreiche Vorteile, darunter:
- Sicherheitslücken werden in der Entwicklung automatisch erkannt, lange bevor sie im Produktionssystem Schaden anrichten können.
- Sofortige Sicherheitsberichte bedeuten eine schnelle Problemlösung bei der Entwicklung;
- Agilität und Sicherheit gehen bei der Bereitstellung von SAP-Änderungen jetzt Hand in Hand.
- CAB kann beruhigt sein, da der gesamte Code auf Sicherheitslücken geprüft wurde.
- Der ROI des gesamten Entwicklungs-Toolset wird dank der durchsetzbaren, anpassbaren Workflow-Funktionen von Rev-Trac maximiert.
Mehr über Onapsis
Onapsis schützt die geschäftskritischen Anwendungen, die die globale Wirtschaft am Laufen halten. Das Cybersicherheitsangebot des Unternehmens, die Onapsis-Plattform, bietet auf einzigartige Weise Schwachstellenmanagement, Bedrohungserkennung und -reaktion, Anwendungssicherheitstests und kontinuierliche Compliance für geschäftskritische Anwendungen führender Anbieter wie SAP, Oracle und anderer SaaS-Plattformen.
Ihre Technologie basiert auf Bedrohungsinformationen und Erkenntnissen der Onapsis Research Labs, dem Team, das für die Entdeckung und Beseitigung von über 800 Zero-Day-Schwachstellen in geschäftskritischen Anwendungen verantwortlich ist.
