Nach der jüngsten Entdeckung mehrerer schwerwiegender Sicherheitslücken in gängigen Entwicklungspaketen rückt die Sicherheit der Anwendungsentwicklung für viele IT-Verantwortliche immer mehr in den Vordergrund. Ereignisse wie die Entdeckung von Sicherheitslücken in Log4j sowie andere erhebliche Schwachstellen, die seither festgestellt wurdenhaben Unternehmen dazu gezwungen, die Art und Weise, wie sie die Anwendungsentwicklung durchführen, gründlich zu überdenken, um ihre Denkweise und Kultur zu verbessern und schließlich einen DevSecOps"-Ansatz für das SAP-Änderungsmanagement zu automatisieren.

DevSecOps ist ein relativ neuer Begriff in der SAP-Welt und steht für Entwicklung, Sicherheit und Betrieb. In der Vergangenheit wurde die Sicherheit von einem isolierten Team kurz vor der Freigabe für die Produktion angewendet. Dieser veraltete Ansatz ist problematisch, vor allem für Unternehmen, die einen agilen Ansatz für die Verwaltung ihrer SAP-Umgebung anstreben.

Die heutige "Shift Left"-Methode betont, wie wichtig es ist, potenzielle Probleme so früh wie möglich im Entwicklungszyklus zu erkennen, damit sie behoben werden können, bevor sie weiter fortschreiten. Aus diesem Ansatz wurde die Vision von DevSecOps geboren.

DevSecOps betont die Notwendigkeit, die Sicherheit frühzeitig als integralen Bestandteil des gesamten Entwicklungslebenszyklus einzubeziehen. Es erfordert die Integration der richtigen Sicherheitstools in den Entwicklungs-Workflow und die anschließende Automatisierung des Prozesses, damit die Entwicklung nicht ins Stocken gerät.

Einführung eines DevSecOps-Ansatzes

Eine Möglichkeit, mit der Einführung eines DevSecOps-Ansatzes zu beginnen, besteht darin, in die besten Lösungen für das Änderungsmanagement und die Einhaltung von Sicherheitsvorschriften zu investieren, um Ihre bestehenden Entwicklungsumgebungen zu ergänzen.

Zunächst sollten Sie unbedingt ein Tool für die Änderungsverwaltung implementieren, das einen durchsetzbaren Workflow-Prozess schafft. Es muss in der Lage sein, alle Änderungen von ihrer Erstellung in der Entwicklung über den komplexen Sicherheits- und Testprozess bis zur endgültigen sicheren Freigabe für die Produktion zu verwalten.

Als Nächstes benötigen Ihre Teams ein automatisiertes Code-Analyse-Tool, das den SAP-Code gründlich auf Probleme in Bezug auf Sicherheit, Compliance, Leistung, Robustheit, Wartbarkeit und sogar Datenverlust untersuchen kann.

Best Practices schreiben vor, dass diese Lösungen auf sinnvolle Weise integriert werden sollten, um ihre Nützlichkeit und Effektivität zu optimieren und gleichzeitig die Akzeptanz durch Ihre Teams zu fördern. Durch die Schaffung einer nahtlosen DevSecOps-Lösung können Ihre Teams die Sicherheit unbewusst in den Rahmen ihres Entwicklungsprozesses integrieren.

Was passiert, wenn Sie diese Technologien in Ihre Entwicklungsprozesse integrieren?

  • Die Sicherheit wird automatisch in Ihren Änderungsmanagementprozess integriert.
  • Sicherheitsprüfungen werden an mehreren Stellen im Entwicklungszyklus ausgelöst, um sicherzustellen, dass Schwachstellen und Codeprobleme so früh wie möglich erkannt (und behoben) werden.
  • Nicht konformer Code wird daran gehindert, sich in der Landschaft zu bewegen.
  • Der Änderungsmanagementprozess wird vereinfacht, da das richtige Werkzeug automatisch zur richtigen Zeit aufgerufen wird.
  • CAB- und Produktmanager können die Produktionsversionen getrost absegnen, da sie wissen, dass die Änderungen einem strengen Sicherheitsüberprüfungsprozess unterzogen wurden.

Die Rev-Trac / Onapsis Lösung

Rev-Trac hat kürzlich eine strategische Partnerschaft mit Onapsis, SAPs ausgewähltem Partner für Cybersicherheit, um dem Markt eine integrierte Best-of-Breed-Lösung für SAP DevSecOps anzubieten. Diese Übergabe-Integration mit den Vorzeigeprodukten von Onapsis, Control for Code und Control for Transports, nutzt einen "Shift Left"-Ansatz, um Sicherheitsschwachstellen und Code-Probleme zu identifizieren, bevor Transporte aus dem Entwicklungssystem freigegeben werden.

Als Teil des Entwicklungs-Workflows übergibt Rev-Trac automatisch Objekte und Transporte an Onapsis Control zur Tiefenanalyse und wartet dann auf ein Ergebnis. Wenn das Ergebnis positiv ist, setzt Rev-Trac seinen Arbeitsablauf fort. Fällt das Ergebnis jedoch negativ aus, werden die Transporte so lange gesperrt, bis die Entwickler die Probleme behoben haben.

Für SAP-Teams, die diese integrierte Lösung einsetzen, ergeben sich zahlreiche Vorteile:

  • Sicherheitsschwachstellen werden in der Entwicklung automatisch erkannt, lange bevor sie im Produktionssystem Schaden anrichten können;
  • Sofortige Sicherheitsberichte bedeuten eine schnelle Problemlösung in der Entwicklung;
  • Bei der Durchführung von SAP-Änderungen gehen Agilität und Sicherheit jetzt Hand in Hand;
  • CAB hat die Gewissheit, dass der gesamte Code auf Sicherheitsschwachstellen geprüft wurde, und
  • Dank der durchsetzbaren, anpassbaren Workflow-Funktionen von Rev-Trac wird der ROI für das gesamte Entwicklungstoolset maximiert.

 

Mehr über Onapsis

Onapsis schützt die geschäftskritischen Anwendungen, die die Weltwirtschaft steuern. Das Cybersecurity-Angebot des Unternehmens, die Onapsis-Plattform, bietet ein einzigartiges Schwachstellenmanagement, Bedrohungserkennung und -reaktion, Anwendungssicherheitstests und kontinuierliche Compliance für geschäftskritische Anwendungen von führenden Anbietern wie SAP, Oracle und anderen SaaS-Plattformen.

Die Technologie basiert auf den Erkenntnissen der Onapsis Research Labs, die für die Entdeckung und Beseitigung von mehr als 800 Zero-Day-Schwachstellen in geschäftskritischen Anwendungen verantwortlich sind.