Kapitel 5. Quellcode-, Build- und Deployment-Management
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Der wahre Kern der Sicherheit der Software-Lieferkette ist die Integrität des Produkts oder der Anwendung selbst. Von dem Moment an, in dem eine Codezeile geschrieben wird, bis zu ihrer Auslieferung besteht das Risiko einer Gefährdung. Diese Gefährdung kann in Form von geändertem oder eingeschleustem Code, Schadsoftware, schlechter Codierung, schwachen Build-Praktiken und ungeprüften Implementierungen auftreten.
Die bekanntesten Angriffe auf die Software-Lieferkette fanden bei SolarWinds und Codecov statt, die beide im weiteren Verlauf des Kapitels näher beschrieben werden, und zwar in den Bereichen Entwicklung, Erstellung und Bereitstellung. Nicht nur ihre Infrastrukturen wurden kompromittiert, sondern die Angreifer haben auch ihre Anwendungen kompromittiert, um sich Zugang zu vielen weiteren Kundenorganisationen zu verschaffen. Die Branche hat darauf reagiert, indem sie sich auf die Verbesserung der Quellcode-, Build- und Deployment-Prozesse konzentriert hat.
In diesem Kapitel geht es um die Details des Quellcodes, die Verbesserung der Codequalität mit Hilfe von sicheren Codierungsstandards und -werkzeugen, die Verwaltungsprozesse und die Integrität in allen Prozessen. Die gute Nachricht ist, dass die Kontrollen in diesem Kapitel nicht schwer zu implementieren sind und die Sicherheit von ...
Get Sicherheit der Software-Lieferkette now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
