Sicherheit bereits bei der Software-Entwicklung

Sie haben ein agiles Software-Projekt, das Sie effizient, kostengünstig und trotzdem sicher umsetzen möchten? Indem Sie Sicherheit von Beginn an und über das zum Go-Live hinweg einbeziehen, verhindern Sie kostspielige, nachträgliche Behebungen von Schwachstellen und die Gefährdung von sensiblen Daten. DevSecOps sorgt für ein reibungsloses Zusammenspiel zwischen den Bereichen Software-Entwicklung (Dev), Sicherheit (Sec) und Betrieb (Ops). Wir sorgen dafür, dass Security sich optimal und möglichst automatisiert in Ihren Entwicklungs- und Betriebsprozess einfügt – sowohl kulturell, konzeptionell als auch technisch. Zudem unterstützen wir Sie in allen Belangen rund um Container Security und Kubernetes Security.

Ausgewählte Referenzen zum Thema

Unsere Dienstleistungen

Aufbau DevSecOps

Wir begleiten Sie bei der Definition und dem Aufbau von DevSecOps in Ihrer Organisation:

  • Analyse der aktuellen Situation und Ihrer Bedürfnisse
  • Definition der durch DevSecOps zu erreichenden Sicherheitsanforderungen
  • Definition der Verantwortlichkeiten/Rollen und Prozesse inklusive allfälliger zusätzlicher Kulturaspekte
  • Priorisierung der DevSecOps Pipeline-Elemente
  • Aufbau/Integration der DevSecOps Pipeline-Elemente (Engineering)
  • Validierung der DevSecOps Pipeline-Elemente

DevSecOps-Review

Wir analysieren und beurteilen Ihren DevSecOps-Reifegrad.

  • Analyse der aktuellen Situation und Ihrer Bedürfnisse
  • Prüfung der bestehenden Sicherheitsanforderungen
  • Prüfung der bestehenden Definition der Verantwortlichkeiten/Rollen
  • Konzept-Review DevSecOps
  • Prüfung der Feedback Loops
  • Analyse der Security Quality Gates
  • Validierung der (bestehenden und neuen) DevOps Pipeline-Elemente

Den allgemeinen Security-Reifegrad Ihrer Software-Entwicklung (Secure Software Development Lifecycle) prüfen wir gerne in einem OWASP SAMM Assessment.

Security-Erweiterung für Ihre CI/CD Pipeline

Sie möchten Ihre Pipeline um weitere Security-Elemente ergänzen? Wir unterstützen Sie in diesem Prozess und der konkreten Umsetzung:

  • Analyse der bestehenden CI/CD Pipeline und Ihrer Sicherheitsbedürfnisse
  • Evaluation geeigneter zusätzlicher Security Tools (z. B. SCA, SAST, DAST) für Ihre PipelineAufbau/Integration zusätzlicher DevSecOps Pipeline-Elemente (Engineering)
  • Validierung der (bestehenden und neuen) DevSecOps Pipeline-Elemente

OWASP SAMM Assessment

Um den Security-Reifegrad Ihrer Software-Entwicklung messbar zu machen, basiert unser Assessment auf dem Software Assurance Maturity Model (SAMM) der OWASP Foundation. SAMM unterstützt den gesamten Software-Lebenszyklus und ist technologie- und prozessagnostisch. Durch unser Assessment erkennen Sie vorhandene Defizite in Ihrem Secure Software Development Lifecycle (SSDLC) und können diesen durch konkrete Massnahmenempfehlungen und einen Umsetzungsplan gezielt verbessern.

DevSecOps Pipeline & Sicherheitselemente

Die oben abgebildeten Prozessschritte bauen fortlaufend aufeinander auf und werden kontinuierlich bei jeder Änderung z. B. an einer Softwarekomponente wieder durchlaufen. Um diesen agilen Prozess nicht unnötig zu verlangsamen und trotzdem die Sicherheit zu garantieren, müssen passende Sicherheitselemente und -checks in die einzelnen Prozessschritte integriert werden.

Von uns unterstützte Tools

Durch unsere langjährige Erfahrung in verschiedensten Kundenprojekten können wir Sie insbesondere im Kontext nachfolgender (und ähnlicher) Tools unterstützen.


Ansible


Argo CD


cert-manager


Cilium


Cloud Foundry


containerd


Dependabot


Docker


ELK Stack


Falco


Bitbucket


Git (Hook)


GitHub Actions


GitHub


GitLab


Grafana


Harbor


Helm


Istio


Jenkins


JFrog (Xray)


Keycloak


kube-bench


Kubernetes


Open Policy Agent


OWASP ZAP


Prometheus


Rancher


Red Hat OpenShift


Semgrep


SonarQube


Spinnaker


Splunk


Starboard


Trivy


HashiCorp Vault


VMware Tanzu

Ihre Vorteile mit uns als DevSecOps-Partner

  • Effiziente Einführung, Weiterentwicklung oder Bewertung Ihres DevSecOps-Toolkits und der zugehörigen Prozesse
  • Neutrale Beurteilung der Eignung von Tools
  • Unterstützung durch Spezialisten mit jahrelanger Erfahrung in unterschiedlichen Branchen und Projekten
  • Umfassende (kulturelle, konzeptionelle und technische) Integration der Sicherheit in Ihre Pipeline und Software-Entwicklung als Ganzes

Kontaktieren Sie uns, um Ihr agiles Software-Projekt effizient, kostengünstig und sicher umzusetzen.