Wie eine Software-Supply-Chain-Plattform bewährte DevOps-Verfahren optimiert

Softwareentwickler haben heute weitaus mehr zu tun als nur zu programmieren. Um mit der schnelllebigen softwaregesteuerten Wirtschaft Schritt zu halten, müssen sie sich auf Automatisierung, Zusammenarbeit, Sicherheit, Verteilung, Datenanalyse und Agilität konzentrieren. [...]

Foto: MarkusKammermann/Pixabay

Nur so kann die Qualität der Builds gewährleistet werden und die Releases schnell und sicher an die Kunden geliefert werden. DevOps– und Sicherheitsexperten benötigen ein zentrales System, das für Transparenz im gesamten Software-Lebenszyklus schafft.

Und Entwickler benötigen eine vollständig integrierte, sichere Automatisierungsplattform, die jederzeit zur Verfügung steht. Nur so ist es möglich, die hohen Anforderungen in Sachen Geschwindigkeit sowie Sicherheit und Compliance zu erfüllen. 

Was ist eine Software-Supply-Chain-Plattform?

Eine echte Software-Supply-Chain-Plattform geht über die Zentralisierung von DevOps-Best-Practices hinaus und sollte laut den Sicherheitsexperten von JFrog folgendes umfassen:

  • Sichere Verwaltung und Kontrolle der Erstellung, Verteilung und Automatisierung von Software-Updates in großem Umfang.
  • Hybride und Multi-Cloud-Umgebungen ohne Einbußen bei der Geschwindigkeit oder Verfügbarkeit.
  • Eine einzige, zentrale Protokollierung für die gesamte Software-Lieferkette, die vollständige Transparenz bietet.
  • Integrierte Sicherheitsfunktionen zur Identifizierung, zum Schutz und zur Behebung von Schwachstellen sowie zur Automatisierung von Prozessen zur Gewährleistung von Konsistenz und Nachvollziehbarkeit.
  • Ein universelles zentrales Repository für Builds und Binärdateien mit der Möglichkeit, aktuelle oder frühere Versionen zu liefern und nachzuverfolgen.
  • Sichere und gesetzeskonforme Bereitstellung von Tools, Prozessen, Artefakten und Repositories sowie vollständige Transparenz über die gesamte Software-Lieferkette.

Um Software vom Lieferanten zum Kunden zu bringen, benötigen Unternehmen eine Software-Supply-Chain-Plattform, die die Komplexität reduziert und Skalierbarkeit, Konsistenz und Zuverlässigkeit bietet.

Jede Anwendung besteht aus Artefakten – Binärdateien, Abhängigkeiten, Images – die miteinander verbunden sind. Die Qualität dieser Software hängt von der Qualität der freizugebenden Assets ab, die in sie eingehen.

Wenn die Artefakte über eine einheitliche End-to-End-Plattform verwaltet werden, können Unternehmen ihre Softwareentwicklungszyklen und bewährte Sicherheitsverfahren aufeinander abstimmen.

Automatisierung der Software-Lieferkette

Von der Entwicklung bis zur Bereitstellung erstellt, verfolgt und verwaltet eine Software-Supply-Chain-Plattform, die wertvollsten Assets (d. h. Software-Binärdateien) in jeder Phase der Softwareentwicklung – von der Open-Source-Kuration über den Build-Prozess bis hin zur Verwendung in der Produktion sowie Bereitstellung für Kunden.

Dieser DevOps-Prozess dient als zentrales System für die Automatisierung der Verwaltung sicherer Software-Releases in großem Umfang. Unternehmen benötigen eine zuverlässige und sichere Lösung, die es ihnen ermöglicht, sowohl End-to-End-Automatisierungsworkflows als auch die Orchestrierung von Binärdateien zu überwachen und zu steuern.

Eine solche Lösung bietet Unternehmen ein Höchstmaß an Transparenz und Sicherheit in ihrer gesamten Software-Lieferkette.

Kontrolle und Sicherung der Software-Lieferkette

Die Software-Stückliste (SBOM) ist zwar ein hervorragender Ausgangspunkt für die Gewährleistung der Sicherheit und der Einhaltung von gesetzlichen Vorgaben, doch die zusätzlichen Informationen, die nicht in der SBOM enthalten sind (d. h. das, was wir als SBOM++ bezeichnen), einschließlich der Metadaten, der kritischen Informationen zur Software-Lieferkette, der Abstammung der Komponenten sowie der Workstream-Informationen (d. h. Build Promotions, Genehmigungen und Ausnahmen), sind für Unternehmen am wertvollsten.

Unternehmen müssen diese zusätzlichen Informationen erfassen, um die Sicherheit und Konformität ihrer Abläufe zu gewährleisten und die Effizienz der Software-Lieferkette insgesamt zu verbessern.

Um diese zusätzlichen Informationen zu sammeln, müssen Unternehmen in der Lage sein, ihre Software-Lieferkette zu verwalten und die Kontrolle über alle Software-Artefakte von einem einzigen Punkt aus zu ermöglichen.

Eine sichere Plattform für die Software-Lieferkette ist eine Kombination aus Sicherheits- und Lieferkettenmanagement, die den Besitz von Integrations- und Punktlösungen überflüssig macht und reichhaltigere Daten, genauere Ergebnisse und einen umfassenden Kontext für risikobasierte Abhilfemaßnahmen liefert.

Transparenz, Sicherheit und automatisiertes Management

Eine Plattform für das sichere Management der Software-Lieferkette verfolgt und kontrolliert Software-Assets während des gesamten Entwicklungszyklus. Es ist ein zentrales System, das die Entwicklung von Applikationen bis hin zum Release in die Produktion steuert. Integrierte Sicherheitsfunktionen helfen dabei, Bedrohungen und Schwachstellen zu erkennen, zu priorisieren und zu beheben. 

Eine solche Plattform bietet ein zuverlässiges, automatisiertes, zentrales Management mit durchgängigen Prozessen für klare Sichtbarkeit, ganzheitliche Sicherheit und ein zentrales Logging und  Monitoring für die sichere Verwaltung der Software-Lieferkette.

Sie kann dafür sorgen, dass Assets auf Abruf, sicher, nachvollziehbar, manipulationssicher und mit hohem Durchsatz verfügbar sind. Dies umfasst die Verwaltung von Binärdateien, Container-Images, CI/CD-Pipelines, Sicherheit und Compliance sowie die Softwareverteilung bis hin zur Bereitstellung und Verteilung genau dorthin, wo sie benötigt werden.

Wenn die Artefakte über eine zentrale Software-Supply-Chain Plattform verwaltet werden, kann das gesamte Unternehmen dieselben DevOps-Workflows, Richtlinien und Best Practices anwenden, die für Qualität und Sicherheit sorgen und die Geschwindigkeit der Softwareentwicklung beschleunigen.

powered by www.it-daily.net


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*