Wenn es um Sicherheit geht, ist es sehr sinnvoll, diese möglichst früh im Entwicklungsprozess einer Software zu verankern. DefectDojo ist ein Vulnerability-Management-Tool, das Entwicklerteams und Admins dabei hilft, Schwachstellen zu identifizieren, nachzuverfolgen und zu beheben. Unser Workshop stellt Grundlagen, Architektur und praktische Nutzung des freien Werkzeugs vor.
Schon seit Jahren ist DevOps bei den meisten Firmen in der Softwareentwicklung nicht mehr wegzudenken. Der Begriff steht für diverse Praktiken, Tools und eine Art Kulturphilosophie, die dabei helfen sollen, Prozesse zwischen der Entwicklungsabteilung und den IT-Teams zu automatisieren und zu verzahnen. Basierend auf den DevOps-Mechanismen hat sich in den letzten Jahren eine Weiterentwicklung herausgebildet: DevSecOps. Kurz gesagt handelt es sich dabei um DevOps plus Sicherheit. Etwas ausführlicher bedeutet dies, dass Sicherheit in jeder Phase des Software-Entwicklungsprozesses eine Rolle spielen sollte: vom ersten Design über Integration, Test und Bereitstellung bis hin zur Auslieferung.
Das Prinzip, dass die Bearbeitung von Aufgaben – in unserem Fall Security – möglichst zeitlich nach vorne in einer Prozesskette verlagert werden soll, heißt auch Shift-Left-Ansatz. Auf Container bezogen bedeutet dies, Sicherheitsaspekte schon beim Bau von Containern einzubeziehen. Das ergibt Sinn, denn Vorfälle in Produktivumgebungen lassen sich oft nur mit hohen Kosten beheben. Viel kostengünstiger ist es meist, wenn Fehler am Anfang des Entwicklungsprozesses gefunden werden. Im Umfeld von Shift-Left und DevSecOps haben sich in den letzten Jahren viele Tools auf dem Markt etabliert. Ein freies ist DefectDojo [1].
DefectDojo im Überblick
Ursprünglich wurde DefectDojo von Rackspace entwickelt, ist aber mittlerweile Open Source. An der Fortentwicklung der Software arbeitet die Community eifrig: Mittlerweile gibt es über 350 Contributers und das Produkt hat mehr als 2500 GitHub-Stars. Neue Features werden relativ häufig released – laut GitHub-Seite erfolgt etwa alle zwei Wochen eine Aktualisierung. Das Werkzeug integriert sich in eine große Reihe existierender Sicherheitstools – inklusive Security-Scanner, Issue-Tracker und Reporting-Werkzeuge – und zeigt deren Informationen in einer zentralen und leicht nachvollziehbaren Art und Weise an.
