Das Wissensportal für IT-Professionals. Entdecke die Tiefe und Breite unseres IT-Contents in exklusiven Themenchannels und Magazinmarken.

SIGS DATACOM GmbH

Lindlaustraße 2c, 53842 Troisdorf

Tel: +49 (0)2241/2341-100

kundenservice@sigs-datacom.de

DevSecOps mit Jenkins und dem OWASP Dependency Check-Plug-in

Viele Standard-Funktionen wie beispielsweise Logging werden in Anwendungen in der Regel nicht selbst implementiert, sondern es wird auf Bibliotheken zurückgegriffen. Und gerade in weitverbreiteten Bibliotheken sind Sicherheitslücken eine „gut dokumentierte“ Möglichkeit, eine Anwendung anzugreifen. Der DevSecOps-Ansatz, bei dem Entwicklung (Dev), Sicherheit (Sec) und Betrieb (Ops) eng miteinander verbunden werden, ist eine gute Voraussetzung, auf dieses Bedrohungsszenario zu reagieren. Dieser Artikel beschreibt ein konkretes Vorgehen, wie im Rahmen von DevSecOps die Sicherheitslücken von Bibliotheken einer Anwendung über CI (Continuous Integration) kontinuierlich überwacht und gegebenenfalls Maßnahmen ergriffen werden können.

Die im Dezember 2021 nicht nur in den Fach-Medien wie dem JavaSPEKTRUM vielfach besprochene Sicherheitslücke in dem Java Logging-Framework log4j [Hei21, AED23, Pie22] zeigt, wie wichtig Sicherheit in Anwendungen ist. Und sie zeigt auch, dass Sicherheitslücken in Anwendungen oft durch Bibliotheken entstehen, besonders wenn diese sehr viele Nutzer haben, wie es bei beliebten Open-Source-Bibliotheken oft der Fall ist. Zum einen werden Sicherheitslücken dort eher gefunden, da viele dort „suchen“ – …