Software Supply Chain Security

Wie Sie die Software Supply Chain absichern

In der Fertigungsindustrie zählen Planung, Überwachung und Absicherung von Lieferketten ganz selbstverständlich zu den elementaren Bestandteilen des Risikomanagements. Analog zur klassischen Lieferkette haben sich in den letzten Jahren Software-Lieferketten (Software Supply Chains) etabliert, in denen einzelne Softwarekomponenten oder fertige Software bereitgestellt werden.

Die Software Supply Chain

Eine Software Supply Chain besteht aus dem gesamten Sourcecode, den Menschen, Systemen und Prozessen, die zur Entwicklung und Bereitstellung Ihrer Software beitragen, sowohl innerhalb als auch außerhalb Ihres Unternehmens.

Beim Bau moderner Applikationen werden sehr häufig Open Source Software (OSS) Softwarekomponenten verwendet; das können eine fertige Software oder Softwarekomponenten wie sogenannte Bibliotheken oder Frameworks sein. OSS-Bibliotheken und Frameworks spielen eine entscheidende Rolle in der Softwareentwicklung, da diese wesentliche Funktionen wie das Logging, HTTPS Kommunikation oder mittels UI-Frameworks wesentliche Teile des User Interfaces bereitstellen.

 

Traditional- vs. Software Supply Chain
VMware Tanzu und Kubernetes

Schützen Sie die Integrität Ihrer Software

Je nach Unternehmensgröße und -strategie entstehen komplexe Netzwerke von Lieferketten, die den Schutz vor Angriffen nicht gerade einfach machen. So gibt es, abhängig von Reichweite und Komplexität der Software-Lieferkette zahlreiche Möglichkeiten, unerlaubte Änderungen an der Software vorzunehmen. Einzelne Maßnahmen genügen hier oft nicht. Nur das Zusammenspiel mehrerer Maßnahmen bietet wirksamen Schutz, denn durch Container, Container Orchestrierungstools, Web-APIs und Infrastruktur-as-Code (IaC) entstehen neue Angriffsflächen (Angriffsvektoren).

Wir raten Ihnen dazu, Sicherheits- und Konformitätsmaßnahmen zu definieren und zu implementieren. So erhalten Sie die Kontrolle und Transparenz, die Sie zum Schutz der Integrität Ihrer Software benötigen.

Software Compliance

Eine essenzielle Maßnahme ist es, unternehmensweite Software Compliance-Richtlinien und -Rahmenbedingungen zu definieren und durchzusetzen. Die Bereitstellung von Leitplanken für die Einhaltung der Vorschriften ermöglicht Ihnen eine schnelle Softwareentwicklung und stellt gleichzeitig sicher, dass die Einhaltung der Vorschriften frühzeitig in die Entwicklungs- und Bereitstellungsprozesse integriert wird. Beispiele sind:

  • Konforme Workflow-Automatisierung durch die Definition von Regeln und Richtlinien
  • Kontinuierliches Security Testing und Verwundbarkeitsmanagement, Security Scanning und Lizenz Compliance für jede Code-Änderung
Software Supply Chain

Secure Software Development Lifecycle – SDLC

Der Einsatz eines unternehmensweiten Software-Entwicklungsstandards, eines Software Development Lifecycle (SDLC), unter Einbeziehung der Lieferanten, trägt wesentlich dazu bei, Sicherheits- und Compliance-Aspekte kontinuierlich in den Lebenszyklus der Softwareentwicklung zu integrieren. Die Verzahnung von Software-Entwicklung und Fachbereich und die direkte und permanente Zusammenarbeit führen zu konkreten Ergebnissen und gewährleisten eine zielgerichtete und effektive Projektumsetzung.

Schnelle Feedback-Zyklen und definierte organisatorische Zuständigkeiten sind für einen erfolgreichen SDLC unverzichtbar und lassen sich mittels DevSecOps (Development, Security and Operations), dem State-of-the-Art Ansatz, welcher die Art und Weise beschreibt, wie Unternehmen Sicherheitsentscheidungen und -maßnahmen im Rahmen ihres SDLC treffen und umsetzen, definieren.

DevSecOps

Sicherheit liegt in der Verantwortung aller

DevOps an sich umfasst Sicherheit, Compliance, User Experience und Geschäftsergebnisse. Sehen Sie DevSecOps als eine Erinnerung daran, dass Sicherheit in der Verantwortung aller liegt. Mit Hilfe von DevSecOps verringern Sie das Risiko von Angriffen, indem Sie Schwachstellen frühzeitig erkennen und konsistente Compliance-Leitlinien über den gesamten DevOps-Lebenszyklus hinweg durchsetzen. Essenzielle Maßnahmen sind hier:

  • Merge Request Approvals schaffen durchgängige Transparenz darüber, wer was, wann und wo geändert hat. Ein Compliance-Dashboard und gemeinsame Kontrollen helfen Ihnen, Ihre Compliance-Anforderungen zu erfüllen
  • Application Security Testing bei jeder Codeübergabe
    • Source Code Analyse, bspw. Static Application Security Testing (SAST)
    • Dependency Analyse, bestehend aus Dependency Scanning, als Teil der Software Composition Analysis (SCA) und Container Scanning
    • Infrastructure as code (IaC) Scanning, Scan der IaC-Konfigurationsdateien auf bekannte Schwachstellen
  • Software Bill of Materials (SBOM), bieten Softwaretransparenz und unterstützen Sie einen Einblick in Ihre Lieferkettenabhängigkeiten zu erhalten
  • Überwachen und Schützen von containerisierten Anwendungen
    • Fortlaufende Integritätskontrollen stellen sicher, dass nur vertrauenswürdige Software läuft
    • Automatische Infrastruktur-Updates, sowie die Option diese im Fall eines dringenden Sicherheitsupdates jederzeit anstoßen zu können
  • Für Entwickler und Administratoren muss Multifaktorauthentifizierung gelten

 

Best of Breed vs. Best of Suite

Best of Breed vs. Best of Suite

Der Einsatz geeigneter Werkzeuge ist einer der entscheidenden Faktoren, um eine systematische Unterstützung umzusetzen. Ebenso umfangreich wie die verschiedenen Vorgehensweisen in der Softwareentwicklung sind die Werkzeuge innerhalb einer Software Supply Chain. Deren Integration gestaltet sich oft sehr aufwendig und erschwert die Skalierbarkeit und damit die unternehmensweite Umsetzung einer Lösung.

Schützen Sie Ihre Software Supply Chain

Nutzen Sie unsere Expertise aus zahlreichen Kundenprojekten und profitieren von Best Practices erfolgreicher Unternehmen, um eine Strategie zu entwickeln, bekannte Sicherheitslücken proaktiv zu erkennen oder noch besser: per Design zu minimieren. Dazu analysieren unsere Experten gemeinsam mit Ihnen die bereits vorhandene Software Supply Chain, erarbeiten Handlungsempfehlungen und unterstützen Sie bei der technischen Umsetzung der erforderlichen Maßnahmen.

AWS Do It Yourself Workshop - Nutzen

Kontakt

Ich bin für Sie da

Haben Sie Fragen zu unserem Leistungsangebot oder wünschen Sie weitere Informationen? Setzen Sie sich gerne mit mir in Verbindung um zu erfahren, wie wir Sie unterstützen können.

Ich freue mich auf Ihre Anfrage!

Timo Gutstein
Managing Consultant