Continuous Integration sollte auch Applikationssicherheit berücksichtigen

Geschrieben am 17. März 2015

Ian Bartholomew, Principal Software Engineer bei Huge Inc, hat einen interessanten Beitrag geschrieben, in dem er darauf hinweist, dass Continuous Integration (CI) - bei allen Vorteilen - eine Gefahr für die Sicherheit einer Applikation bedeuten kann. Denn obwohl häufige Änderungen, die laufend deployed werden, natürlich schneller zu Fehlern führen, wird oftmals vergessen, dass nicht nur Unit Tests und Integration Tests automatisiert werden sollten. Nimmt man die Sicherheit ernst, sollte man auch gerade Sicherheitstests automatisieren und im Rahmen des CI-Prozesses laufen lassen.

Ian zeigt ein Beispiel und nennt verschiedene Tools, die zu diesem Zweck eingesetzt werden können. Wie immer geht es auch hier darum, das richtige Tool für die konkreten Umstände wie erforderliche Komplexität der Tests, Wissen und zur Verfügung stehende Zeitressourcen der Teammitglieder zu finden. Für den Einstieg empfiehlt er OWASP-OWTF oder Minion. Erfahrene Pentester werden seiner Meinung nach vermutlich mit Gauntlt oder BDD-Security glücklicher werden.

Ich führe zwar regelmäßig Sicherheitsüberprüfungen meiner Webapplikationen durch oder lasse sie durchführen; den Schritt, diese Tests in den CI-Prozess zu integrieren, bin ich aber auch noch nicht gegangen. Ich werde mir die genannten Tools genauer ansehen und überlegen, ob sich die Investition von Zeit für meine Anwendungsfälle lohnt.