Development IT-Sicherheit

DevSecOps mit Jenkins und dem OWASP Dependency Check-Plug-in

Viele Standard-Funktionen wie beispielsweise Logging werden in Anwendungen in der Regel nicht selbst implementiert, sondern es wird auf Bibliotheken zurückgegriffen. Und gerade in weitverbreiteten Bibliotheken sind Sicherheitslücken eine „gut dokumentierte“ Möglichkeit, eine Anwendung anzugreifen. Der DevSecOps-Ansatz, bei dem Entwicklung (Dev), Sicherheit (Sec) und Betrieb (Ops) eng miteinander verbunden werden, ist eine gute Voraussetzung, auf dieses Bedrohungsszenario zu reagieren. Dieser Artikel beschreibt ein konkretes Vorgehen, wie im Rahmen von DevSecOps die Sicherheitslücken von Bibliotheken einer Anwendung über CI (Continuous Integration) kontinuierlich überwacht und gegebenenfalls Maßnahmen ergriffen werden können.

Die im Dezember 2021 nicht nur in den Fach-Medien wie dem JavaSPEKTRUM vielfach besprochene Sicherheitslücke in dem Java Logging-Framework log4j [Hei21, AED23, Pie22] zeigt, wie wichtig Sicherheit in Anwendungen ist. Und sie zeigt auch, dass Sicherheitslücken in Anwendungen oft durch Bibliotheken entstehen, besonders wenn diese sehr viele Nutzer haben, wie es bei beliebten Open-Source-Bibliotheken oft der Fall ist. Zum einen werden Sicherheitslücken dort eher gefunden, da viele dort „suchen“ – …

Nächster Artikel

IT Spektrum

JavaSPEKTRUM

BI-SPEKTRUM

German Testing Magazin

Unsere Interviews

Unsere Artikelreihen

DevSecOps mit Jenkins und dem OWASP Dependency Check-Plug-in

Kostenfreien Account erstellen oder einloggen.

Einer für alle, alle für Kubernetes