Shift Left & Shift Right für umfassende Anwendungssicherheit
Trotz aller Bemühungen von Unternehmen, Bedrohungen Ihrer Software- & IT-Sicherheit abzuwehren, nehmen diese immer weiter zu. Dazu entwickeln Angreifer auch immer raffiniertere Taktiken. Und die Lage wird sich weiter zuspitzen, da Angreifer immer häufiger künstliche Intelligenz (KI) und Machine Learning (ML) einsetzen.
Um sich vor diesen Bedrohungen zu schützen, müssen Security Teams daher über ihren gesamten Software Development Lifecycle (SDLC) hinweg mehr Security-Maßnahmen und -Checks einführen. Konkret bedeutet das eine Kombination aus proaktivem (Shift-Left) und reaktivem (Shift-Right) Ansatz zur Sicherung von Anwendungen in jeder Phase der Entwicklung.
Das Konzept Shift-Left ist bereits länger bekannt, entwickelt sich aber ständig weiter. Entwickler nutzen immer öfter generative KI-Tools wie Copilot, um schneller mehr, sicheren Code schreiben zu können. Bei Shift-Right dagegen geht es vorrangig um einen Schutz der Produktionsumgebung, die je nach Bereitstellungsstrategie auch containerisierte Anwendungen und Cloud-native Deployments umfassen kann.
Um alles rund um dieses Thema zu erfahren, laden Sie sich am besten unser E-Book “Shift-Left & Shift-Right als Schlüssel zu einer durchgängig sicheren Software-Lieferkette” herunter
Hier geht’s zum DownloadWas bedeutet Shift-Right-Securtiy?
Der Shift-Right-Ansatz legt den Schwerpunkt auf kontinuierliche Sicherheitstests von Anwendungen, die in Produktionsumgebungen laufen, auf das Setup kontinuierlich laufender Security-Checks und darauf, Schwachstellen, die nach der Bereitstellung entdeckt wurden mit dem nächsten Update zu schließen.
Während Shift-Left der bekanntere Ansatz ist, braucht es für eine umfassende End-To-EndSecurity der Software-Lieferkette auch Shift-Right.
Der Fokus liegt auf Sicherheitsmaßnahmen während der Laufzeit- und Bereitstellungsphase, um die Usability zu verbessern und sicherzustellen, dass es keine Probleme gibt, bevor Software-Updates veröffentlicht werden. Dazu gehören das Monitoring von Produktionsumgebungen, das Erkennen von und Reagieren auf Sicherheitsvorfälle und die kontinuierliche Verbesserung der Sicherheit ihrer Software auf der Grundlage von Rückmeldungen aus der Praxis.
Der Shift-Right Security Ansatz erkennt an, dass Schwachstellen in Produktionsumgebungen vorhanden sein können oder neu Auftreten, was die Angriffsfläche um Probleme wie Fehlkonfigurationen, anfällige Container-Images und Laufzeit-Exploits vergrößert.
Was bedeutet Shift-Left-Security?
Shift-Left-Security dagegen beschreibt das Konzept, Sicherheitsmaßnahmen schon möglichst früh während desSoftware Development Lifecycle (SDLC) zu integrieren, was die Wahrscheinlichkeit verringert, Schwachstellen in die Entwicklungsumgebung einzuführen.
Developer, die quasi ganz “links” im Entwicklungsprozess sitzen, sorgen bereits durch sichere Programmier-Praktiken dafür, dass unsicherer Code in eine Binärdatei kompiliert wird.
Shift-Left vs. Shift-Right
Shift-Left- und Shift-Right-Sicherheit sind zwei unterschiedliche Ansätze, die Sicherheitsmaßnahmen in die verschiedenen Phasen des Softwareentwicklungszyklus integrieren. Bei Shift-Right werden Sicherheitsmaßnahmen bis in die Produktionsumgebung und in die Laufzeit mit gezogen, während Shift-Left die früheren Phasen des Prozesses abdeckt.
Während die Shift-Left-Ansätze Probleme frühzeitig zu erkennen versucht, bietet Shift-Right-Testing einen entscheidenden Schutz für die Bereitstellung und die Laufzeitumgebung und stellt sicher, dass die Anwendung unter allen Umständen wie vorgesehen funktioniert.
Die effektivste Strategie zur Absicherung der Software-Lieferkette ist es, sowohl den Shift-Links- als auch den Shift-Rechts-Ansatz zu verfolgen und beide Konzepte zu kombinieren.
Den gesamten Software-Lebenszyklus absichern
Der SDLC ist ein Framework, das einen effektiven Prozess für alle Schritte der Softwareentwicklung definiert – auch was Kosten und Zeit angeht. Im Verlauf der Softwareentwicklung können in jeder Phase neue Schwachstellen auftreten. Um Attacken zu verhindern und effiziente und sichere Software Releases gewährleisten zu können, ist es entscheidend, kontinuierlich und über den gesamten SDLC hinweg Sicherheitsmaßnahmen zu ergreifen.
Next steps
Die zunehmenden Bedrohungen der Software-Lieferkette von Unternehmen sind ein akutes Problem, insbesondere angesichts der Fortschritte bei künstlicher Intelligenz und maschinellem Lernen. Um diesem Problem zu begegnen, ist es entscheidend, umfassende Sicherheitskontrollen über den gesamten SDLC zu implementieren. Dazu gehört ein proaktiver Shift-Left-Ansatz ebenso wie ein reaktiver Shift-Right-Ansatz. Durch die Kombination dieser Security-Konzepte können Unternehmen ihre Applikationen in jeder Phase der Entwicklung effektiv schützen.
Weitere Informationen über die Anwendung eines Shift-Left- und eines Shift-Right-Ansatzes für Software-Supply Chain Security finden Sie in unserem E-Book.
Oder, wenn Sie es etwas komprimierter mögen, sehen Sie sich folgenden <Shift Everywhere> Infografik an: