Fraunhofer-Institut für Offene Kommunikationssystemevon Jürgen Großmann, Andre Plötze, Abhishek Shrestha 01.09.2025
Das Vorgehen in der Softwareentwicklung hat sich im Laufe der Jahre weiterentwickelt, von dem eher sequenziellen und starren Wasserfallmodell hin zu flexibleren Vorgehensmodellen wie beispielsweise in der agilen Entwicklung. Diese Evolution wurde durch die Notwendigkeit getrieben, schneller verwertbare Ergebnisse zu liefern und den Entwicklungs- und Bereitstellungsprozess reibungsloser und effizienter zu gestalten, nicht nur für Endkunden, sondern auch für die Teams selbst. Ein wichtiger Meilenstein in dieser Entwicklung ist DevOps, das durch Continuous Integration (CI) und Continuous Deployment (CD) automatisiert wird.
CI/CD optimiert die DevOps-Workflows, indem es den Aufbau, das Testen und die Bereitstellung von Anwendungen automatisiert (https://arxiv.org/abs/2401.17606). In der heutigen Entwicklungslandschaft verlassen sich Unternehmen zunehmend auf Plattformen wie GitLab CI/CD, um Code zu integrieren und nahtlos bereitzustellen, oft über Cloud-Umgebungen wie AWS. Ohne robuste Sicherheitsmaßnahmen können die Anwendungen, die innerhalb dieser Pipelines bereitgestellt werden, sowie die Pipelines selbst, zu attraktiven Angriffszielen werden. Von geleakten Anmeldeinformationen bis hin zu kompromittierten Pipelines sind die Risiken real und nehmen zu (https://cheatsheetseries.owasp.org/cheatsheets/CI_CD_Security_Cheat_Sheet.html).
Die Mängel der aktuellen CI/CD-Implementierungen
Obwohl viele Organisationen seit Jahren DevOps praktizieren, bleibt Sicherheit oft ein zweitrangiges Ziel (https://learn.fastly.com/rs/025-XKO-469/images/Fastly_eBook-DevOps-Roadmap_2023.pdf). Obwohl CI/CD eigentlich eine gute Gelegenheit bietet, auch Sicherheit in die bestehenden Entwicklungsworkflows zu integrieren, werden Werkzeuge für Static Application Security Testing (SAST) und für Dynamic Application Security Testing (DAST) häufig zu spät eingeführt und nicht systematisch benutzt (https://arxiv.org/abs/2310.00205). Diese Herausforderungen werden in großen Entwicklungsprojekten noch dadurch verstärkt, dass Governance- und Skalierungsprobleme die Integration solcher Werkzeuge deutlich komplexer machen.
Richtung sichere Anwendungsentwicklung und Bereitstellungen sowie skalierbare Pipelines
Automatisierte Sicherheitstests, die in verschiedenen Phasen der Pipeline integriert sind, ermöglichen kontinuierliche Sicherheit und bieten schnelle und zuverlässige Bewertungen von Schwachstellen (https://ieeexplore.ieee.org/document/10957011). Darüber hinaus müssen die Pipelines selbst als kritische Infrastruktur behandelt werden, da sie Zugriff auf hochsensible Infrastruktur wie Code-Repositories, Produktions- und Testumgebungen, kryptografische Schlüssel und Konfigurationsdateien haben.
Darüber hinaus kann bei großangelegten industriellen Projekten sichere CI/CD nicht nur mit klassischen Schulbuchwissen erreicht werden. Die Anforderungen an die Skalierbarkeit stehen oft im Widerspruch zu strengen Sicherheitsmaßnahmen, insbesondere angesichts der schieren Größe des Quellcodes, verteilten Organisationsstrukturen und der Komplexität von Integrationsprozessen. Dies führt häufig zu Abwägungen, die alles andere als trivial sind und nuancierte, erfahrungsbasierte Lösungsansätze erfordern.
Fraunhofer FOKUS kann mit seiner langen Geschichte in der industrienahen Forschung auf seine umfassende Expertise aus großen Softwareentwicklungsprojekten und angewandter Forschung zurückgreifen. Diese duale Perspektive ermöglicht es FOKUS, reale Herausforderungen bei der Vereinbarkeit von Sicherheit, Skalierbarkeit und Praktikabilität anzugehen. Unsere Expertise rüstet Teams nicht nur mit den technischen Grundlagen von GitLab, AWS-Bereitstellungen und SAST/DAST-Integration aus, sondern auch mit den fortgeschrittenen Strategien und fallbasierten Erkenntnissen, die erforderlich sind, um sichere CI/CD in industriellem Maßstab beherrschen zu können.
Links: