05. März 2019

Continuous Delivery Pipelines und ihre Schwachstellen

Auf dem Workshop Quality-Aware DevOps (QUDOS) am 26. März 2019 in Hamburg, der im Rahmen der 3rd International Conference on Software Architectures (ICSA 2019) stattfindet, wird unsere Kollegin Christina Paule zusammen mit den Betreuern ihrer Masterarbeit an der Universität Stuttgart, André van Hoorn und Thomas F. Düllmann, Ergebnisse einer Studie zu Schwachstellen bei Continuous Delivery Pipelines vorstellen.
Novatec_Mitarbeiterportraits_Christina_Paule

Immer mehr Unternehmen sind dabei moderne, kontinuierliche Softwareentwicklungspraktiken und Ansätze wie Continuous Integration (CI), Continuous Delivery (CD) oder DevOps einzuführen. Diese Ansätze können Unternehmen dabei unterstützen ihre Entwicklungsgeschwindigkeit, die Frequenz der Produktinkremente und die Time-to-Market zu erhöhen.

Um alle Vorteile nutzen zu können, müssen dabei die benötigten Werkzeuge und Infrastrukturen sicher und zuverlässig sein. Wenn diese beeinträchtigt oder nicht verfügbar sind, stehen alle genannten Vorzüge auf dem Spiel und könnten auch dazu führen, dass die bevorstehende Softwareentwicklung behindert wird.

Ziel war es, herauszufinden, welche Schwachstellen in industriellen CD-Pipelines vorhanden sind und wie sie erkannt werden können. Die Ergebnisse stellen Christina Paule zusammen mit André van Hoorn und Thomas F. Düllmann von der Universität Stuttgart im Vortrag „Vulnerabilities in Continuous Delivery Pipelines? A Case Study” auf der Quality-Aware DevOps (QUDOS) am 26. März 2019 in Hamburg im Rahmen einer Fallstudie vor.

Inhalte der Fallstudie

  • Qualitative Befragung agiler Projektteams zum Thema Sicherheitsbewusstsein in CI/CD
  • Analyse und Abstraktion von zwei CD-Pipelines
  • Bedrohungsanalyse zur Schwachstellenidentifikation auf der Grundlage einerausgewählten CD-Pipeline

Die drei haben dabei festgestellt, dass die Teammitglieder, die mit der CD-Pipeline in verschiedenen Rollen arbeiten, kein ausgeprägtes Sicherheitsfachwissen besitzen, ihnen aber im Allgemeinen die Sicherheitsattribute dennoch bewusst sind. Darüber hinaus analysierten sie zwei CD-Pipelines aus Industrieprojekten mit dem STRIDE-Threat-Analyse-Ansatz.

Insgesamt konnten 22 Schwachstellen identifiziert werden, die von den Projektteams bestätigt wurden.

Wir haben Ihr Interesse geweckt und Sie wollen mehr über die Fallstudie von Christina Paule, André van Hoorn und Thomas F. Düllmann erfahren? Dann melden Sie sich gleich zum QUDOS Workshop an und seien Sie beim Vortrag dabei – Wir freuen uns auf Ihre Teilnahme und den gemeinsamen Austausch!

>> Mehr Infos zur QUDOS Konferenz
>> Zum Programm der QUDOS Konferenz

>> Paper zur Fallstudie

Diese Webseite verwendet Cookies, um Ihnen ein angenehmeres Surfen zu ermöglichen. Zur Datenschutzerklärung