Sicherheit bereits bei der Software-Entwicklung

Sie haben ein agiles Software-Projekt, das Sie effizient, kostengünstig und trotzdem sicher umsetzen möchten? Indem Sie Sicherheit von Beginn an und über das zum Go-Live hinweg einbeziehen, verhindern Sie kostspielige, nachträgliche Behebungen von Schwachstellen und die Gefährdung von sensiblen Daten. DevSecOps sorgt für ein reibungsloses Zusammenspiel zwischen den Bereichen Software-Entwicklung (Dev), Sicherheit (Sec) und Betrieb (Ops). Wir sorgen dafür, dass Security sich optimal und möglichst automatisiert in Ihren Entwicklungs- und Betriebsprozess einfügt – sowohl kulturell, konzeptionell als auch technisch.

Ausgewählte Referenzen zum Thema

Unsere Dienstleistungen

Aufbau DevSecOps

Wir begleiten Sie bei der Definition und dem Aufbau von DevSecOps in Ihrer Organisation:

  • Analyse der aktuellen Situation und Ihrer Bedürfnisse
  • Definition der durch DevSecOps zu erreichenden Sicherheitsanforderungen
  • Definition der Verantwortlichkeiten/Rollen und Prozesse inklusive allfälliger zusätzlicher Kulturaspekte
  • Priorisierung der DevSecOps Pipeline-Elemente
  • Aufbau/Integration der DevSecOps Pipeline-Elemente (Engineering)
  • Validierung der DevSecOps Pipeline-Elemente

DevSecOps-Review

Wir analysieren und beurteilen Ihren DevSecOps-Reifegrad.

  • Analyse der aktuellen Situation und Ihrer Bedürfnisse
  • Prüfung der bestehenden Sicherheitsanforderungen
  • Prüfung der bestehenden Definition der Verantwortlichkeiten/Rollen
  • Konzept-Review DevSecOps
  • Prüfung der Feedback Loops
  • Analyse der Security Quality Gates
  • Validierung der (bestehenden und neuen) DevOps Pipeline-Elemente

Den allgemeinen Security-Reifegrad Ihrer Software-Entwicklung (Secure Software Development Lifecycle) prüfen wir gerne in einem OWASP SAMM Assessment.

Security-Erweiterung für Ihre CI/CD Pipeline

Sie möchten Ihre Pipeline um weitere Security-Elemente ergänzen? Wir unterstützen Sie in diesem Prozess und der konkreten Umsetzung:

  • Analyse der bestehenden CI/CD Pipeline und Ihrer Sicherheitsbedürfnisse
  • Evaluation geeigneter zusätzlicher Security Tools (z. B. SCA, SAST, DAST) für Ihre PipelineAufbau/Integration zusätzlicher DevSecOps Pipeline-Elemente (Engineering)
  • Validierung der (bestehenden und neuen) DevSecOps Pipeline-Elemente

DevSecOps & Agile Security Coaching

Um die Software-Entwicklung agil, automatisiert und sicher zu gestalten, eignet sich der DevSecOps-Ansatz – für ein optimales Zusammenwirken der Bereiche Softwareentwicklung (Dev), Sicherheit (Sec) und Systemadministration (Ops).

Dabei werden Sicherheitselemente direkt in die Abläufe und Werkzeuge der Software-Entwicklung und des IT-Betriebs integriert. So wird sichergestellt, dass Informations- und IT-Sicherheitsabteilungen immer «im Loop» sind, die bestehenden Vorgaben durchsetzen können und die Arbeit der Software-Entwickler und System-Administratoren nicht behindert wird.

Wir unterstützen Sie beratend und bei den konzeptuellen Definitionen sowie mit individuellen Coachings, um die Einführung von DevSecOps oder allgemeinen, agilen Sicherheitspraktiken zu begleiten. So sorgen wir dafür, dass DevSecOps bei Ihnen erfolgreich eingeführt wird und alle involvierten Bereiche nachhaltig effizienter und transparenter sind.

DevSecOps Pipeline & Sicherheitselemente

Die oben abgebildeten Prozessschritte bauen fortlaufend aufeinander auf und werden kontinuierlich bei jeder Änderung, z. B. an einer Software-Komponente, wieder durchlaufen. Um diesen agilen Prozess nicht unnötig zu verlangsamen und trotzdem die Sicherheit zu garantieren, müssen passende Sicherheitselemente und -checks in die einzelnen Prozessschritte integriert werden.

Von uns unterstützte Tools

Durch unsere langjährige Erfahrung in verschiedensten Kundenprojekten können wir Sie insbesondere im Kontext nachfolgender (und ähnlicher) Tools unterstützen.


Ansible


Argo CD


cert-manager


Cilium


Cloud Foundry


containerd


Dependabot


Docker


ELK Stack


Falco


Bitbucket


Git (Hook)


GitHub Actions


GitHub


GitLab


Grafana


Harbor


Helm


Istio


Jenkins


JFrog (Xray)


Keycloak


kube-bench


Kubernetes


Open Policy Agent


OWASP ZAP


Prometheus


Rancher


Red Hat OpenShift


Semgrep


SonarQube


Spinnaker


Splunk


Starboard


Trivy


HashiCorp Vault


VMware Tanzu

Ihre Vorteile mit uns als DevSecOps-Partner

  • Effiziente Einführung, Weiterentwicklung oder Bewertung Ihres DevSecOps-Toolkits und der zugehörigen Prozesse
  • Neutrale Beurteilung der Eignung von Tools
  • Unterstützung durch Spezialisten mit jahrelanger Erfahrung in unterschiedlichen Branchen und Projekten
  • Umfassende (kulturelle, konzeptionelle und technische) Integration der Sicherheit in Ihre Pipeline und Software-Entwicklung als Ganzes

Kontaktieren Sie uns, um Ihr agiles Software-Projekt effizient, kostengünstig und sicher umzusetzen.