Ein Penetrationstest deckte Schwachstellen auf, die seit Monaten im Code steckten. Ein „Security Review” einmal pro Quartal reicht nicht aus. DevSecOps integriert Security in jeden Commit.
Security in der CI/CD-Pipeline¶
Jede Pipeline-Stufe fügt eine Sicherheitsprüfung hinzu:
- Pre-commit: Secrets Detection (git-secrets, detect-secrets)
- Build: SAST — SonarQube, Checkmarx für statische Code-Analyse
- Dependencies: OWASP Dependency-Check, Snyk für bekannte Schwachstellen
- Docker: Trivy, Clair für Image Scanning
- Deploy: OPA/Gatekeeper für Policy Enforcement
- Runtime: DAST — OWASP ZAP für dynamisches Testen
Trivy — Image Scanning, das funktioniert¶
$ trivy image registry.core.cz/api-server:latest
api-server:latest
Total: 12 (CRITICAL: 2, HIGH: 3, MEDIUM: 5, LOW: 2)
CVE-2019-5736 CRITICAL runc < 1.0-rc6
CVE-2019-3462 CRITICAL apt < 1.4.9
Trivy ist schnell, einfach und hat eine gute CVE-Datenbank. Wir haben es in die Jenkins-Pipeline integriert — der Build schlägt bei CRITICAL-Schwachstellen fehl.
Compliance as Code¶
OPA (Open Policy Agent) mit Gatekeeper in Kubernetes: keine Container als Root, kein Privileged Mode, obligatorische Resource Limits, obligatorische Labels. Policies definiert in Rego, durchgesetzt auf API-Server-Ebene.
Kultureller Wandel¶
Das Wichtigste: Security ist nicht nur die Aufgabe des Security-Teams. Entwickler erhalten Feedback über Schwachstellen direkt in PRs. Security-Training ist Teil des Onboardings.
Shift Left — Security ab der ersten Zeile¶
Je früher man eine Schwachstelle findet, desto günstiger ist die Behebung. DevSecOps ist keine Mehrarbeit — es ist eine Investition, die Zeit und Geld spart.
Brauchen Sie Hilfe bei der Implementierung?
Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.
Kontaktieren Sie uns