Nach dem Seminar können Sie...

.. Schlüsseltechnologien und -methoden zu nutzen, um CI/CD-Pipelines zu entwerfen, zu erstellen und zu sichern.

... moderne Testmethoden und -werkzeuge anzuwenden und in CI/CD-Prozesse für Anwendungssicherheitstests zu integrieren.

... die technischen und organisatorischen Herausforderungen der Implementierung sicherer CI/CD in industriellen Kontexten zu analysieren und anzugehen.

• Entwickler und Prozessverantwortliche in Teams, die CI/CD und DevOps einsetzen
• Softwareunternehmen
• IT-Dienstleister
• Betreiber von IT-Infrastruktur und Cloudsystemen
• andere Unternehmen, Behörden, etc., die Cloud-Infrastruktur einsetzen / betreiben

Inhouse-Kurs:

1. Einführung

• Was ist CI/CD und CI/CD-Sicherheit?
• Welche CI/CD-Umgebungen gibt es?
• Was sind Microservices?

2. Pipeline-Automatisierung

• Implementierung von CI/CD mit Gitlab
• Jobs, Stufen und Pipelines
• Gitlab-Runners
• Praktische Umsetzung

3. Anwendungssicherheitstests in CI/CD

• Statische Anwendungssicherheitstests (SAST) mit SonarQube
• OWASP Dependency-Check für Software-Zusammensetzungsanalyse (SCA)
• Dynamische Anwendungssicherheitstests (DAST) mit OWASP ZAP

4. Sicherheit der CI/CD-Pipeline

• Was ist Pipeline-Sicherheit?
• Potenzielle Bedrohungen für die Pipeline-Sicherheit
• Berechtigungen, Rollen- und Rechtemanagement
• Virtualisierung, Containerisierung und Container-Sicherheit
• Identitäts- und Zugriffsmanagement, Geheimnismanagement, Abhängigkeitsmanagement

5. CI/CD für industrielle Anwendungen

• Allgemeine Anforderungen
• Zentrale Herausforderungen
• Praktische Fallstudien und Gruppendiskussionen
• Zusammenfassung und Perspektiven

Ergänzender Online-Kurs:

• Der Softwareentwicklungsprozess
• DevOps für einen optimierten Softwareentwicklungsprozess
• Automatisierung mittels CI/CD
• Sichere CI/CD
  • Verwaltung von Geheimnissen (secrets management) und Sicherheit der Anmeldeinformationen (credential security)
  • Containerisierung
  • Beispielimplementierungen
• Best Practices

Andre Plötze (andre.ploetze@fokus.fraunhofer.de)

• Studium an der FU Berlin mit Vertiefungsgebiet und Masterarbeit zum Thema IT-Sicherheit
• > 5 Jahre Berufserfahrung in der Entwicklung komplexer Softwaresysteme
• Trainer in der Fraunhofer Academy mit Schwerpunkt Security Testing
   

Abishek Shrestha (abhishek.shrestha@fokus.fraunhofer.de)

• > 4 Jahre Berufserfahrung im Bereich KI-Schwachstellen und sichere CI/CD-Prozesse
• Wissenschaftliche Publikationen zu Forschungsthemen mit Fokus auf Maschinelles Lernen und Sicherheit
• Experte für Maschinelles Lernen und Sicherheit mit Industrieerfahrung
• Erfahrener Trainer und Trainingsentwickler an der Fraunhofer Academy mit Spezialisierung auf Maschinelles Lernen, Sicherheit und Testverfahren sowie langjähriger Erfahrung

Dorian Knoblauch (dorian.knoblauch@fokus.fraunhofer.de)

• >5 Jahre Berufserfahrung im Bereich ML
• Wiss. Publikationen zu Forschungsthemen mit Fokus auf ML, Auditierung- und Prüfung von KI und Security
• Trainer in der Fraunhofer Academy mit Schwerpunkt ML, Security und Testen

Was ist CI/CD?

Continuous Integration (CI) bezieht sich auf das häufige Zusammenführen neuer Codeänderungen in ein gemeinsames Repository, wobei automatisierte Builds und Tests die Korrektheit gewährleisten. Continuous Delivery (CD) erweitert dies, indem Builds automatisch in Test- oder Pre-Production-Umgebungen bereitgestellt werden, sodass die Anwendung immer in einem einsatzbereiten Zustand ist. Continuous Deployment (CD) geht noch einen Schritt weiter, indem jede Änderung, die die Pipeline durchläuft, automatisch direkt in die Produktion für Endbenutzer bereitgestellt wird.

Wie korreliert CI/CD mit DevOps, und erfordert es die Annahme von DevOps- oder Agile-Prinzipien, um nützlich zu sein?

CI/CD erleichtert ein reibungsloses DevOps, indem es Automatisierung bereitstellt, die schnelle und zuverlässige Software-Lieferzyklen ermöglicht. Während es eng mit DevOps- und Agile-Prinzipien verbunden ist, kann es auch eigenständig nützlich sein, und die Einführung von CI/CD erfordert nicht unbedingt einen vollständigen DevOps- oder Agile-Prozess. Beispielsweise könnte ein Team GitLab CI/CD-Pipelines nur verwenden, um Builds und Tests zu automatisieren, ohne eine vollständige DevOps-Kultur oder Agile-Praktiken zu übernehmen.

Was meinen Sie mit einer sicheren CI/CD-Pipeline?

Eine sichere CI/CD-Pipeline bedeutet, dass Sicherheit in jede Phase der Pipeline eingebaut ist, um sowohl die Anwendungen als auch die Pipeline selbst zu schützen. Dies wird erreicht, indem Prüfungen (SAST, DAST, Abhängigkeitsüberprüfung) integriert, Geheimnisse sicher verwaltet, strenge Zugriffs- und Identitätsmanagement-Richtlinien durchgesetzt und Anomalien protokolliert und überwacht werden.

Erfordert die Sicherung einer CI/CD-Pipeline die vollständige Implementierung von DevSecOps, und was ist der Unterschied zwischen den beiden?

Die Sicherung einer CI/CD-Pipeline erfordert nicht die vollständige Implementierung von DevSecOps. Eine sichere CI/CD-Pipeline konzentriert sich darauf, Sicherheit in die Build-, Test- und Bereitstellungsprozesse einzubetten, während DevSecOps ein breiteres Konzept ist, das den kulturellen und organisatorischen Ansatz umfasst, Sicherheitspraktiken im gesamten Softwareentwicklungslebenszyklus zu integrieren.

Welche Vorteile bringt eine sichere CI/CD-Pipeline für Softwarefreigabeworkflows?

Eine sichere CI/CD-Pipeline bringt Zuverlässigkeit und Vertrauen in Softwarefreigabeworkflows. Die Vorteile sind klar:

• Verringerte Risiken von Schwachstellen, geleakten Geheimnissen und Angriffen auf die Lieferkette.
• Sicherere Releases mit weniger kurzfristigen Störungen.
• Freigabeworkflows können konform mit Standards gestaltet werden.
• Automatisierte Tests verbessern die Codierpraktiken und die Codequalität.

Was sind die häufigsten Hürden bei der Integration von Sicherheit in CI/CD?

Obwohl CI/CD (und sichere CI/CD) viele Vorteile hat, gibt es einige Herausforderungen, mit denen Teams oft konfrontiert sind, wie:

• Umfassende Sicherheitsprüfungen können die Pipelines verlangsamen; die Balance zwischen Geschwindigkeit und Sicherheit ist entscheidend.
• Die Implementierung im industriellen Maßstab (große Codebasen, riesige Teams) kann herausfordernd sein.

Was sind die besten Praktiken für sichere CI/CD?

Nachfolgend sind einige der besten Praktiken zur Sicherung von CI/CD-Workflows aufgeführt:

• Behandle alles als Code, einschließlich allem, was benötigt wird, um Infrastruktur zu erstellen, auszuführen, zu testen, zu ändern, zu überwachen, zu sichern und zu zerstören.
• SAST, DAST und SCA bei jeder Änderung.
• Vermeide hartkodierte Geheimnisse; verwende kurzlebige, scoped Tokens.

Gibt es bereits definierte Standards/Risiken in Bezug auf die Sicherung von CI/CD-Prozessen?

Es gibt mehrere Standards und Richtlinien, die sich mit Sicherheitsrisiken in CI/CD befassen. Einer der direkt relevanten und weithin anerkannten ist die OWASP Top 10 CI/CD Security Risks, die (https://owasp.org/www-project-top-10-ci-cd-security-risks/) Probleme wie unsichere Konfigurationen, vergiftete Pipelines und schlechtes Geheimnismanagement hervorhebt.

Was sind die einzigartigen Herausforderungen bei der Implementierung von sicheren CI/CD in großindustriellen Umgebungen?

Bei der Skalierung von CI/CD auf große, komplexe Umgebungen stehen Teams oft vor einzigartigen Herausforderungen, wie:

• Hohe Anzahl an Problemen: Macht Priorisierung und Triage schwierig.
• Große und komplexe Codebasis: Langsame Builds, schwierigere Abhängigkeitsverwaltung und höheres Risiko versteckter Schwachstellen.
• Große Entwicklungsteams: Die Aufrechterhaltung strenger Zugriffs- und Sicherheitsmaßnahmen wird zunehmend herausfordernder.
• Die Anzahl der durchgeführten Tests ist massiv und wächst mit der Zeit: Langsamere Rückmeldezeiten, was Entwickler zwingen könnte, außer der Reihe Änderungen vorzunehmen.
• Redundanz in der Entwicklung: Ähnliche Anforderungen könnten bereits implementiert sein, sind aber nicht sichtbar, was zu redundanten Code- und Entwicklungsaufwänden führt.

Welche einzigartigen Merkmale bietet dieses Training, das Organisationen helfen kann, sichere CI/CD zu meistern?

Durch diesen Kurs teilt Fraunhofer FOKUS sein Fachwissen nicht nur über sichere CI/CD-Prozesse, sondern auch Erkenntnisse aus Forschungsprojekten, die sich mit den Herausforderungen der Skalierung von CI/CD-Pipelines befasst haben. Der Kurs bietet:

• Praktisches Lernen: Von den Grundlagen von CI/CD bis hin zum Aufbau sicherer Pipelines, mit praktischen Übungen zu realen Sicherheitsherausforderungen.
• Einblicke in wesentliche Sicherheitspraktiken: einschließlich statischer Codeanalyse, dynamischer Codeanalyse, Software-Zusammensetzungsanalyse, sichere Cloud-Bereitstellungen, Geheimnisverwaltung und Container-Sicherheit.
• Wie man CI/CD-Prozesse skalieren kann: Organisatorische und technische Ansätze zur Unterstützung der industriellen Softwareentwicklung innerhalb des CI/CD-Prozesses.