Anwendungssicherheit
DevSecOps
Auch bekannt als: SecDevOps, Rugged DevOps
Definition
Eine Kultur und Praxis, die Sicherheitsverantwortung in DevOps-Workflows integriert, damit Teams sichere Software kontinuierlich und schnell ausliefern.
Beispiele
- Trivy, Semgrep und Gitleaks bei jedem Pull Request in einer GitHub-Actions-Pipeline ausführen.
- Policy-as-Code mit OPA/Conftest auf Terraform-Pläne anwenden, bevor sie ausgeführt werden.
Verwandte Begriffe
Anwendungssicherheit (AppSec)
Die Disziplin, Software so zu entwerfen, zu entwickeln, zu testen und zu betreiben, dass sie über ihren gesamten Lebenszyklus Missbrauch, Manipulation und unbefugten Zugriff abwehrt.
Sicherer Software-Entwicklungslebenszyklus (SSDLC)
Entwicklungslebenszyklus, in den Sicherheitsaktivitäten in jede Phase integriert sind – von Anforderungen und Design über Coding, Tests, Release bis zum Betrieb.
Shift-Left-Security
Praxis, Sicherheitsaktivitäten früher im Software-Lebenszyklus zu verankern, damit Schwachstellen gefunden und behoben werden, bevor Code in Produktion geht.
SAST (Static Application Security Testing)
Automatisierte Analyse von Quellcode, Bytecode oder Binaries – ohne Ausführung – um Sicherheitsschwächen wie Injection, unsichere APIs oder schwache Kryptografie zu finden.
SCA (Software Composition Analysis)
Automatisierte Analyse der Open-Source- und Drittanbieterkomponenten einer Anwendung, um bekannte Schwachstellen, Lizenzprobleme und veraltete oder riskante Abhängigkeiten zu erkennen.
Secure Coding
Secure Coding — definition coming soon.