Wenn Anwendungen in Unternehmen implementiert, angepasst oder aktualisiert werden, ist meist nicht viel Zeit. Um im Rahmen des dafür erforderlichen Application Risk-Management Code hinsichtlich Sicherheit zu scannen und abzusichern – dafür wird aber Zeit gebraucht.
Entwickler und IT-Verantwortliche müssen für diese kontroversen Anforderungen eine Lösung finden. Denn oftmals leidet die Sicherheit der Programme, weil nicht genügend Kapazitäten vorhanden sind, neuen Code zu scannen und ausreichend sicher zu machen. Sogenannte ‚Sicherheitsschulden‘ entstehen, die Cyberangreifern Tür und Tor öffnen können. In Zeiten, da die Angreifer auf künstliche Intelligenz setzen, um Angriffe zu automatisieren und damit zu potenzieren, hilft nur eines: die Automatisierung des Application-Risk Management mithilfe von Machine Learning (ML) und Künstlicher Intelligenz (KI).
71 Prozent der Unternehmen haben ‘Sicherheitsschulden’. Das zeigt der Veracode State of Software Security 2024 Report. ‘Sicherheitsschulden’ sind sicherheitsrelevante Fehler in Software-Code, die über längere Zeiträume nicht behoben werden. Oft haben Entwickler nicht genügend Zeit, sich mit der Sicherheit von Code ausreichend zu beschäftigen – denn Zeit ist Geld. Dazu kommen der Digitalisierungs-, Innovations- und Wettbewerbsdruck. Für Entwickler bedeuten die Schritte von der Konfiguration von Pipelines über die Implementierung, das Scannen und die Absicherung von Code bis zur Einrichtung von Tickets viel Zeit und Detailarbeit. Der Aufwand multipliziert sich exponentiell, wenn Unternehmen Dutzende, Hunderte oder Tausende Anwendungen einsetzen, die implementiert, angepasst und aktualisiert werden müssen. Die Deadlines dafür sind in der Regel eng getaktet und die Entwickler überlastet.
Erschwerend hinzu kommt, dass Entwickler von ihren Unternehmen oftmals nicht ausreichend hinsichtlich Sicherheit geschult werden. Eine Studie von Veracode und der Enterprise Strategy Group zeigt: Rund 70 Prozent der Entwickler erhalten von ihrem Arbeitgeber keine angemessene Sicherheitsschulung. In Zeiten zunehmender Cyber-Angriffe – insbesondere durch KI – besteht hier dringender Handlungsbedarf.
Entwicklungs-Workflows mit Automatisierung vereinfachen
Eine Lösung der genannten Herausforderungen ist die Automatisierung mit auf Machine Learning (ML)- bzw. Künstlicher Intelligenz (KI)-basierten Tools, wie beispielsweise Veracode Fix. So lässt sich der zeitaufwändige Prozess der Sicherheitsintegration bei der Softwareentwicklung eliminieren. Sobald ein Entwickler eine Aktion ausführt, wie beispielsweise eine Codeänderung, wird der Sicherheitsscan automatisch im Hintergrund angestoßen. Ergebnisse werden sofort präsentiert – einschließlich potenzieller Sicherheitslücken und Bibliotheksabhängigkeiten – und mögliche Lösungswege aufgezeigt.
Entwickler werden so entlastet, weil manuelle Aufgaben und Konfigurationen weitestgehend entfallen. Stattdessen laufen die Sicherheitsscans von Code und die Behebung von Schwachstellen großteils automatisiert ab. Das macht ihre Arbeit wesentlich effizienter und erfolgreicher. Lästige, sich wiederholende Aufgaben werden gemäß „Make it disappear-Ansatz“ eliminiert. Motivation und Innovationspotenzial steigen. Und die Sicherheit profitiert: Automatisierte Sicherheitsscans und Verbesserungsvorschläge reduzieren die Wahrscheinlichkeit von Sicherheitslücken und Sicherheitsschuld.
Dabei ist die Anpassbarkeit an unterschiedliche Entwicklungsplattformen wichtig. Von integrierten Entwicklungsumgebungen bis hin zu Continuous Integration-Systemen ist die Automatisierung fast überall möglich. Ob mit GitHub, Azure DevOps, GitLab oder Bitbucket – jeder Entwickler sollte von diesen Vorteilen profitieren können.
Go to-Market-Vorteile, zufriedene Entwickler, mehr Security und Einsparungen
Unternehmen, die auf Automatisierung bei der Absicherung von Code setzen, konnten damit bereits beeindruckende Ergebnisse erzielen. Ein bekanntes, großes Medienunternehmen hat beispielsweise dank halbautomatischer Prozesse und Vorlagen wie Continuous Integration und der GitHub Workflow App in nur eineinhalb Monaten ganze 3.000 Anwendungen sicher integriert – eine massive Beschleunigung im Vergleich zu herkömmlichen manuellen Methoden.
Durch die Automatisierung wichtiger, aber ungeliebter Aufgaben wie der Codesicherheit, die viel Zeit in Anspruch nimmt, können sich Entwickler auf ihre Kernaufgaben konzentrieren und kreativer als bisher zur Weiterentwicklung ihres Unternehmens beitragen – ohne Abstriche bei der Sicherheit machen zu müssen.
Die Automatisierung nimmt den Entwicklern jedoch nicht die Verantwortung für sicheren Code und sichere Applikationen ab. Vielmehr identifiziert sie auf der Basis von KI frühzeitig Fehler oder Lücken im Code und schlägt den Entwicklern Lösungen vor. So lassen sich Sicherheitsaspekte stärker in den Entwicklungsprozess integrieren, was die Softwarequalität fördert.
Mit KI-gestützter Fehlerbehebung können Entwickler die Zeit für die Behebung von Sicherheitsmängeln von Stunden auf Minuten verkürzen, lästige Aufgaben eliminieren und ihrem Unternehmen viel Geld sparen.
Automatisierung für sicheres Coding A und O
Sicherheitsschulden nehmen mehr und mehr zu und ohne Automatisierung kostet es Entwickler zu viel Zeit, diese Herausforderung in den Griff zu bekommen. Durch die Eliminierung manueller Prozesse und die Bereitstellung von automatisierten Lösungen sparen Unternehmen nicht nur Zeit und Kosten, sondern heben ihre Softwareentwicklung auch auf ein neues Niveau – mit mehr Sicherheit, mehr Innovationspotenzial, schnellerem Time-to-Market, besseren Wettbewerbschancen sowie mehr Spaß und Motivation für die Entwickler. Und sie verbessern damit letztlich ihre Business Performance.