Jahresrückblick 2017 IT-techBlog

Jahresrückblick: Das geschah 2017 auf dem IT-techBlog

In ein paar Tagen geht dieses Jahr zu Ende, noch genug Zeit also, die fast abgelaufenen 365 Tage Revue passieren zu lassen. Da das zweite Halbjahr mehr zu bieten hatte als das erste, beginnt dieser Jahresrückblick im Dezember und endet im Januar. Viel Spaß beim Schmökern!

Dezember: SVA StorageDay 2017 und eine Menge Know-how

Ende Oktober fand der SVA StorageDay 2017 statt, der bis in den Dezember hinein auf meinem IT-techBlog sichtbar wurde. Und das aus gutem Grund, schließlich war ich dort vor Ort (in der ziemlich coolen Location Millertorstadion des FC St. Pauli), um mit Teilen der anwesenden SVA-Experten Videointerviews zu führen. Herausgekommen sind insgesamt fünf Gespräche, von denen zwei im Dezember und drei im November online gegangen sind.

[Video] Konrad Trojok, SVA, über kognitive Objektspeicher-Lösungen

[Video] Gero Dieckmann über den SVA StorageDay 2017

Darüber hinaus habe ich zwei weitere Beiträge für meinen noch recht neuen Kunden CAST veröffentlich, und zwar zu den Themen „CAST Highlight ermittelt, wie cloud-tauglich Applikationen sind“ und „Darum ist das frühe Evaluieren von Softwarefehlern so wichtig„.

Ein weiterer Schwerpunkt auf dem IT-techBlog war im Dezember eine ganze Menge an technischem Wissen rund um die Themen „Internet“, „Netzwerktechnik“, „Verschlüsselung“ und „Ping“. Ach ja, und die Tatsache, dass in München wieder einmal ein Supercomputer gebaut wird, war mir eine Nachricht wert, die auf relativ großes Interesse stieß.

SuperMUC-NG: Der nächste Supercomputer aus München

November: SVA Storage Day und Netzwerk-Monitoring

Der November hatte blog- und arbeitstechnisch eine ganze Menge zu bieten. So gingen, wie bereits erwähnt, die ersten drei Blogbeiträge des SVA StorageDay 2017 online.

[Video] Wendel Zacheiss, SVA, über die Dell EMC Isilon-NAS-Plattform

[Video] Sven Kaminski, SVA, über NetApp ONTAP und mehr

[Video] Holger Fröhlich, SVA, über die Hitachi Content Platform

Darüber hinaus habe ich im November eine neue Serie gestartet, und zwar zum Thema Netzwerk-Monitoring, und das aus gutem Grund. So können meine Leser unter anderem lernen, wie das Überwachen von Netzwerkkomponenten funktioniert, worin der Unterschied zwischen Realtime- und Langzeit-Monitoring von Netzwerken besteht, welche Dienste und Komponenten sich überwachen lassen und einiges mehr.

Serie: Wichtige Fragen rund um das Netzwerk-Monitoring

Ansonsten war ich für meinen Kunden CAST aktiv, und zwar zu den Themen „Analyse von DevOps-Projekten“, „DSGVO“, „Cloud-Migration“, „Sicherheit von .NET- und Java-Apps“ und „Softwarequalität bewerten“. Und was im November auch ziemlich gut ankam, was mein Beitrag zum Thema „Fritzbox und Wireshark: WLAN-Router von AVM monitoren“.

Fritzbox und Wireshark: WLAN-Router von AVM monitoren (Teil 1)

Oktober: IBM, CAST und die DSGVO

Mitte September war ich für IBM auf zwei Veranstaltungen, die ich beide in Form von Videoblogbeiträgen für die Nachwelt festhalten durfte. Herausgekommen sind zahlreiche Veröffentlichungen vom IBM Storage Strategy Day 2017 und IBM z14 Launchevent , die die Bandbreite an Gesprächen sehr gut abbilden. Ein Teil davon ging im September online, und der Rest eben erst im Oktober.

[Video] Bernd Bohne von der SDV-IT zu IBM-Mainframes

[Video] Lars Herrmann (IBM) über das IBM Z-Event

Im Oktober begann auch meine Zusammenarbeit mit der Firma CAST, die Analysesoftware bereitstellt. Die ersten Beiträge handelten von der Frage, was CAST mit der IT-SA zu tun hat und warum CAST-Analysetools echte DSGVO-Helfer sind.

Apropos DSGVO: Mitte Oktober war ich unter anderem auf einer IDC-Veranstaltung zu diesem Thema. Herausgekommen sind zahlreiche Tweets und ein zusammenfassender Blogbeitrag. Das hat insgesamt für recht viel Aufmerksamkeit auf meinem Blog gesorgt.

DSGVO-Studie: Lehrreiches IDC-Event zum Thema Datenschutz

September: Praxisbeiträge und IBM-Videoblogposts

Der neunte Monat des Jahres war ziemlich arbeitsreich, wenn ich mir die 14 Einträge so ansehe. Los ging es mit drei Praxisbeiträgen, die allesamt eine Menge an Nutzwert bieten sollten. Damit wollte ich zeigen, wie die Mac-App von wordpress.com das Bloggen vereinfacht, wie sich die Fritzbox von außen steuern und nutzen lässt und wie der Umzug einer Fritzbox auf eine andere vonstatten geht.

Der große Schwerpunkt hatte aber wie bereits geschrieben mit den zwei großen IBM-Events zu tun, die ich in Wort und Bewegtbild begleiten durfte. Dazu gehörte das IBM z14-Event im IBM Watson IoT Center zu München und der IBM Storage Strategy Day 2017, der in der IBM-Zentrale Deutschland stattfand.

Herausgekommen sind neben den beiden verlinkten Rückblicken zahlreiche Videoblogbeiträge zu den Themen Mainframe und Storage.

[Video] Ulrich Walter, IBM, über Künstliche Intelligenz und Storage

[Video] Ralf Colbus (IBM) über die NVMe-Speichertechnik

[Video] Ed Walsh, IBM, über Storage-Trends aus IBM-Sicht

[Video] Dr. Axel Köster von IBM über Cognitive Storage

August: SVA, Fritzbox, Mac und PRTG

Der August ist zumindest in Bayern ein Urlaubsmonat, was mich aber nicht davon abgehalten hat, 17 Beiträge zu veröffentlichen. Los ging’s mit den etwas verspäteten Videoblogposts vom SVA VirtualizationDay 2017, der Mitte Juni stattgefunden hatte. Dort durfte ich fünf Videointerviews führen, die allesamt im August online gegangen sind.

[Videochat] Gero Dieckmann über IT-Slogans, Virtualisierung und den FC St. Pauli

[Videochat] Christian Strijbos über VMware-Lösungen wie VMware NSX

[Videochat] Stefan Müller über virtuelle CAD-/CAM-Arbeitsplätze

[Videochat] Christian Schmidt über software-defined Anything und digitale Transformation

[Videochat] Mark Sobol über EU-DSGVO, WannaCry und mehr

Doch nicht nur mit der SVA habe ich mich beschäftigt, sondern auch mit IBM und der IT-SA, mit meiner PA-Anlage TC-Helion Voicesolo FX150, mit der Navi-App Komoot und einigen anderen Dingen mehr.

Dazu gehört vor allem das Thema Fritzbox, mit dem ich mich intensiver auseinander gesetzt habe, und die Netzwerk-Monitoring-Anwendung PRTG, die ich vorgestellt habe.

Workshop: Internetzugang für Kinder richtig einschränken (Fritzbox 7430)

Und ja, ein Beitrag zum Thema Mac und was ich an den Rechner von Apple so mag, war auch mal wieder fällig.

Juli: IBM z14-Launch in München

Der Juli stand auf dem IT-techBlog ganz im Zeichen des IBM z14-Launch, der unter anderem im Münchner Presseclub stattfand. Und da mich „Big Blue“ eingeladen hatte, konnte ich dort drei Interviews führen, die allesamt auf meinem Blog online gingen.

[Videochat] IBM z14: Machine Learning, Blockchain, Apple Pay & Co.

[Videochat] IBM z14: Mainframes forever, DSGVO-Datenkopfschmerzen und mehr

[Videochat] IBM z14: Sicherheit first + „Made in Böblingen“ [Upd]

Juni: Flash-Event von speicherguide.de in München

Anfang Juni fand in München die erste FastForward Flash-Konferenz statt, die die lieben Kollegen (RIP, Berti!) von speicherguide.de mit organisierten. Damit war für mich ganz klar, dass ich von dort aus Bericht erstatten werde – und das ganz ohne monetäre Gegenleistung. Herausgekommen sind vier interessante Videogespräche auf meinem Blog.

FlashForward-Talk: „Flash ist vor allem für read-intensive Anwendungen interessant“

#flashMunich: „Flash ist der insgesamt günstigste Datenspeicher!“

FlashForward-Chat: „Gar kein Flash einzusetzen, ist wenig sinnvoll“

FlashForward-Talk: „Flash-Speicher wird zunehmend in anderen Szenarien eingesetzt“

Darüber hinaus blieb mir noch Zeit für das genauere Betrachten eines mobilen Videobeamers, dem iCodis CB-400.

April: Die große CeBIT 2017-Nachbetrachtung

Der April stand ganz im Zeichen der CeBIT 2017, auf der ich insgesamt zehn Videobeiträge produziert habe, die ich dann Stück für Stück und nicht alle auf einmal veröffentlicht habe. Dabei war die Bandbreite an Themen sehr groß. Das reichte von einer brandneuen DataCore-Lenovo-Storage-Appliance über IBM Cognitive Computing bis hin zu einem Roboter namens Paul.

CeBIT 2017: Stefan von Dreusche über die DataCore-Lenovo-Storage-Appliance

CeBIT 2017: Stefan von Dreusche über die DataCore-Lenovo-Storage-Appliance

CeBIT 2017: Bas Zwartkruis von ZTE über Smart Cities 3.0

https://www.it-techblog.de/cebit-2017-ulrich-reiser-von-unity-robotics-ueber-den-saturn-roboter-paul/04/2017/

CeBIT 2017: Dr. Hubert Jäger von Uniscon über Sealed Cloud und iDGARD

CeBIT 2017: Jan Füllemann von in-tech engineering zur geplanten eHealth-App

CeBIT 2017: Ulrich Walter von IBM über Künstliche Intelligenz und IBM-Systeme

CeBIT 2017: Oliver Naegele über die Notwendigkeit der Blockchain-Technik

März: CeBIT 2017 und Embedded World 2017

Der März führte mich auf zwei Reisen. Zunächst auf die Embedded World 2017 nach Nürnberg, und anschließend auf die CeBIT, die traditionell in Hannover stattfindet. Allerdings bin ich zum letzten Mal im März auf die CeBIT gefahren, denn von 2018 an öffnet die große IT-Messe im Sommer ihre Tore.

TenAsys-Videoimpressionen von der Embedded World 2017

CeBIT 2017: Yasser Eissa (IBM) über kognitive Cloud-Services in Frankfurt

CeBIT 2017: Gero Dieckmann über die SVA GmbH und künftige Herausforderungen

Februar / Januar: Produkt-Reviews

Der Anfang des Jahres war – wie so oft – ziemlich ruhig hier auf dem Blog. Und so habe ich den zweiten Teil meines MacBook-Pro-mit-Touchbar-Reviews veröffentlicht, genauso wie den Kurztest einer LED-Schreibtischlampe und von nützlichem USB-C-Zubehör, was für das Macbook Pro mit Touchbar hilfreich und nützlich ist.

Meine Erfahrungen mit der Touchbar des MacBook Pro (Teil 2)

 

 

Forrester-Review-Ergebnis als Infografik

Darum ist das frühe Evaluieren von Softwarefehlern so wichtig

In Zeiten von unsicheren Software-Applikationen, die aufgrund von Schwachstellen unerwünschten Eindringlingen wie Hackern zahlreiche Angriffspunkte bieten, wird der Sicherheitscheck von selbst programmierten Anwendungen immer wichtiger. Hierbei werden Firmen von speziellen Tools wie der CAST Application Intelligence Platform (AIP) unterstützt, die innerhalb der gesamten Entwicklungsphase eingesetzt werden können.

Das Ganze nennt sich Static Application Security Testing (SAST) und ist im besten Fall Teil des Software Development Life Cycle (SDLC), was im Deutschen für Software-Entwicklungs-Lebenszyklus steht. Dabei kommt es vor allem darauf an, die entsprechenden SAST-Tools in einem möglichst frühen Entwicklungsstadium der Anwendungssoftware einzusetzen. Denn das erlaubt ein rasches Aufspüren von vorhandenen Schwachstellen und Programmierfehlern, die die Sicherheit von Applikationen gefährden können.

SAST-Tools wie die CAST AIP im Fokus von Sicherheitsexperten und CIOs

Daher verwundert es nicht, dass immer mehr Sicherheitsverantwortliche größerer Firmen die Implementierung von SAST-Werkzeugen in den Software-Entwicklungszyklus entweder bereits realisiert haben oder planen, dies zu tun. Zu diesem Ergebnis kommt zumindest das Marktforschungsinstitut Forrester Research in seiner Umfrage mit dem Titel „Forrester Data Global Business Technographics Security Survey, 2017“.

Dabei stellte sich nämlich heraus, dass schon zahlreiche Unternehmen SAST-Tools einsetzen oder planen dies zu tun. Etwas unverständlich dabei ist allerdings, warum sie damit in vielen Fällen erst zu einem recht späten Zeitpunkt innerhalb des Entwicklungszyklus‘ beginnen, und zwar erst während der Test- bzw. Produktionsphase. Dabei ist das Evaluieren von möglichen Schwachstellen zu einem früheren Zeitpunkt sehr viel sinnvoller.

Forrester-Umfrage zur Implementierung von SAST-Tools

10 Probanden und wichtige Erkenntnisse des Forrester SAST-Reviews

Dasselbe Unternehmen hat ebenfalls erst kürzlich eine umfangreiche Marktbetrachtung samt Funktionstest veröffentlicht, in dem es die zehn bekanntesten SAST-Tools unter die Lupe nimmt. Zu diesem erlesenen Feld gehören unter anderem CA Veracode, CAST, Ceckmarx, Micro Focus, Synopsys und andere Probanden. Der Name diese Studie lautet The Forrester Wave: Static Application Security Testing, Q4 2017.

Download-Tipp: Die detaillierte Auswertung der Studie steht mithilfe einer kurzen Registrierung als Download auf der CAST-Webseite zu Verfügung.

Wichtig dabei war, ob die SAST-Tools Dinge wie das Scannen von Quellcode beherrschen, und das auf möglichst breiter Programmiersprachen-Basis, inkrementelle Scans unterstützen, Meilensteine vorsehen sowie die Integration des SAST-Tools innerhalb der Entwicklungsumgebung ermöglichen, und das alles „Out of the Box“, also ab Werk quasi. Darüber hinaus wurde die aktuelle Vermarktungsstrategie sowie der Marktanteil des jeweiligen SAST-Tools betrachtet und bewertet. Herausgekommen bei dieser Evaluierung sind zahlreiche interessante Erkenntnisse:

Die CAST AIP punktet vor allem in Spezialdisziplinen

Hinter den „Platzhirschen“ Synopsys und CA Veracode tummeln sich drei ernstzunehmende Alternativen, die ihre Stärken vor allem in speziellen Bereichen ausspielen. Im Falle der CAST AIP betrifft dies unter anderem den breiten Support an Programmiersprachen, weswegen die CAST AIP eine sehr gute Option für Unternehmen darstellt, in denen Sprachen wie Javascript, .NET, Java, Python, C++, etc. zum Einsatz kommen.

Aber auch im Bereich „Akkuratesse“ kann die CAST AIP punkten. Hiermit kann der „Gesundheitszustand“ einer Anwendung ermittelt werden, und das runter bis auf Systemebene. Dabei wird vor allem die Qualität der einzelnen Softwarekomponenten sowie deren Verbindungen zueinander gemessen und bewertet.

CAST Application Intelligence Platform (AIP)

Bemerkenswert finden die Marktanalysten von Forrester auch das Dashboard der CAST AIP, mit dessen Hilfe Sicherheitsexperten, Software-Entwickler und CIOs die Qualitätsmerkmale ihrer Software auf einen Blick visualisieren können. Dazu gehören Kriterien wie Robustheit, Effizienz, Anpassbarkeit und Sicherheit der Anwendung. Aus diesen und weiteren Gründen kommt Forrester zu dem Schluss, dass die CAST AIP im Segment „Strong Performers“ anzusiedeln ist, und das wegen einer klaren Marktstrategie und einem soliden Produkt, mit dem sich Schwachstellen innerhalb von Quellcode ausfindig machen lassen.

Forrester-Review-Ergebnis als Infografik

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

CAST Highlight Workflow

CAST Highlight ermittelt, wie Cloud-tauglich Applikationen sind

Mit einer Frage beschäftigen sich immer mehr Unternehmen:

Wie kann ich eigentlich herausfinden, wie Cloud-tauglich meine Applikationen sind?

Dass die Antwort darauf nicht ganz trivial ist, lässt sich wohl recht einfach annehmen. Dass eine praktikable Lösung mit recht geringem Aufwand trotzdem möglich ist, zeigt die Software-Analyse-Lösung Highlight der Firma CAST, für die ich diesen Beitrag schreibe. Das besondere an diesem Tool: Die Cloud-Tauglichkeit richtet sich vor allem an Entscheider. Also an solche Anwender, die mit der Technik dahinter nicht besonders viel am Hut haben.

Exkurs: So funktioniert CAST Highlight

CAST Highlight analysiert im Wesentlichen vier Bereiche von Software-Applikationen: Robustheit & Zuverlässigkeit (Software Resiliency), Verständlichkeit und Wartbarkeit (Software Agility), Komplexität (Software Elegance) und Cloud-Tauglichkeit (CloudReady). Dabei gilt: Je höher der ermittelte Index ist, desto weniger Probleme hat Highlight innerhalb der betreffenden Kategorie ermittelt. Dabei stellt der Indexwert 100 die höchste Punktzahl dar, die eine Software erreichen kann.

Im Falle von „CloudReady“ bedeuten die ermittelten Werte im Einzelnen:

  • 100 bis 80: Die Anwendungen lässt sich ohne größeren Aufwand in die Cloud migrieren (falls keine Roadblocker ermittelt wurden).
  • 79 bis 60: Üblicherweise gute Kandidaten für eine Migration in die Cloud.
  • 30 bis 0: Migration kommt erst infrage, wenn grundlegende Verbesserungen erreicht werden können.  

CAST Highlight - Übersicht

Was man für das Ermitteln seines Cloud-Index benötigt

Im ersten Schritt für das Ermitteln des eigenen Cloud-Index‘ bekommen alle Cloud-Portierung-Projektmitglieder (intern und extern) eine E-Mail zugesandt, in der sich ein Hyperlink befindet. Damit verzweigen die Anwender auf das CAST Highlight-Portal, auf dem ein kleines Software-Tool zum Download bereit steht. Dieses wird auf dem Rechner des betreffenden Anwenders installiert, womit sich eine genaue Analyse der zu sortierenden Anwendungssoftware durchgeführt wird. Zusätzlich beantworten alle Beteiligten ein paar Fragen, die Auskunft über die Wichtigkeit der künftigen Cloud-Anwendungen geben, etc. Das ist so simpel, dass es keine wirkliche Hürde beim Ermitteln der Cloud-Tauglichkeit der eigenen Applikationen darstellt.

CAST Highlight Workflow

Was CAST Highlight an Daten ermittelt

Auf Basis der Software-Analyse, die das installierte Stück Software vorgenommen hat, wird eine verschlüsselte Datei generiert, die jeder Anwender per Upload auf einen geschützten Bereich des CAST Highlight-Portals kopiert. Hierbei werden sämtliche regulatorische Maßnahmen berücksichtigt, die speziell bei größeren Unternehmen beachtet werden müssen. Damit wird sicher gestellt, dass es keine Compliance-Verstöße auftreten. Hierzu gehört beispielsweise, dass Quellcode nicht von CAST Highlight kopiert und auf das Portal übermittelt wird.

Wie man die ermittelten Daten interpretiert

Innerhalb des CAST Highlight-Portals werden die so ermittelten Daten sehr übersichtlich und anhand von Indexwerten exakt aufgelistet und bewertet. Außerdem schlägt die Analyse eine mögliche Strategie vor, anhand der die eigenen Anwendungen in die Cloud migriert werden können. Hierfür erstellt das CAST-Tool eine Prioritätenliste, die ziemlich exakt den Aufwand pro Applikation darstellt, die für den Umzug in die Cloud erforderlich ist. Damit bekommt man brauchbare Werte an die Hand, mit welchem zeitlichen Aufwand pro Anwendung zu rechnen ist.

Doch nicht nur der Migrationsaufwand ist wichtig. So sollte die Konzentration auch den möglichen Sicherheitslücken der zu migrierenden Anwendungen gelten. Denn nichts ist fataler als eine Applikation, die aufgrund ihrer Schwachstellen im Cloud-Einsatz eine echte Gefahrenquelle für die komplette Infrastruktur darstellt – und damit für das ganze Unternehmen. Hierfür nutzt CAST Highlight eine große Bibliothek, die mehr als 100.000 bekannte Schwachstellen und Gefahrenherde in Software-Applikationen kennt. Interessant an der Highlight-Analyse sind aber auch „demografische“ Erkenntnisse, also wie viele Anwendungen in Java, .NET, etc. geschrieben wurden. Denn auch hieraus lassen sich bestimmte Dinge ableiten.

CAST Hight Portfolio Demographics

 

Wie man die Highlight-Analyse richtig liest

Anhand des folgenden Dashboard-Ausschnitts der Highlight-Software bekommt man einen sehr guten ersten Eindruck von der Cloud-Tauglichkeit der eigenen Anwendungen. So lassen sich folgende Parameter beurteilen (von links nach rechts):

  • Cloud-Readiness insgesamt
  • Cloud-Readiness anhand der Anwenderumfrage
  • Cloud-Readiness anhand der Analyse
  • Anwendungen, die mit geringem Aufwand „Cloud-ready“ sind (Boosters)
  • Anwendungen, die mit mittlerem Aufwand „Cloud-ready“ sind (Blockers)
  • Anwendungen, die mit hohem Aufwand „Cloud-ready“ sind (Roadblocks)

CAST Highlight Cloud-ready

Das sagen Anwender über den Einsatz von CAST Highlight

Im folgenden Interview mit Pascale Bernal der französischen Firma GRDF spricht die CIO über den Einsatz von CAST Highlight und wie sie und ihr Team das Software-Tool einsetzen.

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

CAST Application Intelligence Platform (AIP)

Softwarequalität bewerten: Wissenswertes zu CISQ und OMG

Stellen Sie sich einmal vor, Sie möchten eine Ihrer selbst entwickelten Anwendungen auf deren Qualität hin überprüfen. Um eine möglichst zuverlässige Aussage über die Effizienz, Stabilität und Sicherheit der Applikation zu bekommen, setzen Sie beispielsweise ein Analysetool wie CAST AIP (Application Intelligence Platform) ein. Doch woher nehmen Sie die Gewissheit, dass das Analysewerkzeug auch auf die richtigen Methoden und Standards setzt, mit denen die Zuverlässigkeit einer Software sichergestellt werden kann?

Genau für diesen Zweck gibt es umfassende Regelwerke, auf denen Analysetools wie die CAST AIP basieren. So werden für die Beurteilung einer Anwendung bis zu 1.200 Bewertungskriterien herangezogen, die die Software anhand bestimmter Qualitätsindikatoren bemisst und bewertet. Hierbei werden vor allem Kriterien überprüft wie Leistungseffizienz, Zuverlässigkeit, Sicherheit, Administration und Anpassungsfähigkeit .

Leistungseffizienz: Besonders der Quellcode und die Eigenschaften der zugehörigen Software-Architektur stellen die Leistungseffizienz einer Anwendung sicher. Die Effizienz einer Applikation spielt vor allem in Hochleistungsumgebungen eine große Rolle, da es hier auf schnelle Transaktionen ankommt und ein möglichst verlustfreies Ausführen des Quellcodes im Vordergrund steht. Damit gibt die Analyse dieses Kriteriums Aufschluss darüber, wie sich fehlerhafter Code negativ auf die Unternehmensziele einer Firma auswirken kann. So spielt die Leistungseffizienz beispielsweise bei kundenorientierten Applikationen wie einem Onlineshop eine große Rolle.

Zuverlässigkeit: Elastizität und Stabilität sagen etwas über die Zuverlässigkeit einer Software-Anwendung aus. Denn nichts ist gravierender und schwerwiegender als mögliche Programmausfälle oder -abbrüche, mit denen Anwender konfrontiert werden. So wird anhand bekannter ISO-Kennzahlen eine Anwendung unter anderem daran bemessen, wie viele Mängel sich aufgrund von Programmierfehlern nachträglich eingeschlichen haben, was die Anwendung insgesamt instabiler macht. Daher werden in diesem Fall Kriterien wie Softwarecrashes, Softwareausfälle und Softwarefehler betrachtet, die einen direkten Einfluss auf Anwender haben.

Sicherheit: Die schlechte Programmierung und eine unzureichende Anwendung der zugrunde liegenden Software-Architektur sind maßgeblich für mögliche Sicherheitsverletzungen verantwortlich. Das Ergebnis der Software-Analyse dieses Kriteriums stellt eine Risikoabschätzung dar, mit welchem Aufwand sich unternehmenskritische Software-Schwachstellen identifizieren und beheben lassen.

Transferierbarkeit: Software lässt sich vor allem dann mit einem angemessenen Aufwand kontinuierlich verbessern, wenn sich der zugehörige Quellcode möglichst gut verwalten lässt. Damit lässt sich der Aufwand recht gut einschätzen, der notwendig ist, um die betreffenden Stellen im Quellcode zu identifizieren und zu eliminieren. Das sorgt gleichzeitig für einen geringen Unabhängigkeitsgrad von einzelnen Software-Entwicklern, die an der Programmierung der Anwendung beteiligt waren.

Änderbarkeit: Wie viel Aufwand ist nötig, um den Quellcode einer Anwendung gemäß der erforderlichen oder gewünschten Anforderungen seitens der Anwender/Kunden anzupassen? Anhand des Kriteriums „Anpassungsfähigkeit“ wird genau diese Frage beantwortet.

Organisationen wie CISQ und ISO geben die Qualitätstandards vor

Doch auf welchen Qualitätskriterien beruhen die genannten Analysemethoden, die von Vereinigungen und Organisationen wie dem Software Engineering Institute (SEI), der International Standards Organizations (ISO), dem Consortium for IT Software Quality (CISQ) und IEEE (International Electrical und Electronics Engineers) entwickelt und verabschiedet wurden und werden?

Organisationen wie CISQ und OMG sorgen für fehlerfreie Anwendungssoftware

Nun, um diese Frage zu beantworten, reicht ein Besuch der CISQ-Webseite, auf der unter anderem all die 86 Software-Schwachstellen aufgeführt werden, anhand derer die Leistung, Zuverlässigkeit, Sicherheit, Leistungseffizienz und Administration einer Software bewertet werden können. Dazu gehören ganz triviale Fehler wie Buffer Overflow genauso wie die Umwandlung in einen kompatiblen Datentyp. Schön an dieser Liste sind die zahlreichen Lösungsvorschläge, die für jede einzelne Software-Schwachstelle angeboten werden.

Automatisierte Function Point-Methode zur quantitativen Beurteilung von Sourcecode

Neben den qualitativen Softwarekriterien, die sich mithilfe der CISQ-Standards überprüfen lassen, kommt auch der quantitativen Bewertung einer Anwendung eine immer größere Rolle zu. So ließen sich bis Mitte 2000 keine automatisierten Aussagen über den Umfang eines Sourcecodes treffen. Diesen Misstand behob die im Jahr 2014 verabschiedete Spezifikation „Automated Function Points“, die ein gemeinsames Projekt der Object Management Group (OMG) und CISQ darstellt. Hierbei werden anhand der ISO-Norm 20926 zahlreiche Regeln zurate gezogen.

So stehen zur quantitativen Bewertung einer Anwendung insgesamt fünf Elementarprozesse zur Verfügung, die einzeln bewertet werden. Das sind laut Spezifikation IFPUG-CPM 4.3.1 Eingaben (External Input, EI), Ausgaben (External Output, EO), Abfragen (External Inquiry, EQ), interne Datenbestände (Internal Logical File, ILF) und Referenzdaten (External Interface File, EIF).

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

CRASH-Report - Beitragsbild

CRASH-Report: So sicher bzw. unsicher sind .NET- und Java-Applikationen

CWE. Drei Buchstaben, die für „Common Weakness Enumeration“ stehen und die etwas über die Schwachstellen einer Software-Applikation aussagen. Erstellt hat die zugehörige Liste eine Gruppe von Leuten, die sich seit vielen Jahren mit dem Thema beschäftigen. Diese Community nennt sich MITRE, hinter der sich ein Zusammenschluss namhafter Firmen wie Apple, Hewlett Packard Enterprise, IBM und auch CAST verbirgt.

Letztere hat im eigenen Forschungslabor einen globalen Benchmark erstellt, der sich CRASH-Report nennt. CRASH steht für CAST Research on Application Software Health und repräsentiert eine umfangreiche Liste von individuellen Spezialanwendungen sowie hochangepassten SAP-Installationen, die auf mögliche Schwachstellen und deren Korrelationen untersucht wurden. Diese Benchmark-Testreihe enthält zahlreiche interessante Ergebnisse und Erkenntnisse, die Anbieter von unternehmenskritischen Applikationen und ihre Software-Entwickler kennen sollten.

Download-Tipp: Hier gibt es den aktuellen CRASH-Report gegen Registrierung for free.

1.388 Apps, 278 Mio. Zeilen Code und zwei Entwicklungsumgebungen

Der CRASH-Report hat insgesamt 1.388 unterschiedlichste Anwendungen untersucht, die insgesamt 278 Millionen Code-Zeilen aufweisen. Gemein ist diesen Applikationen zweierlei: Sie wurden in Java EE (Enterprise Edition) oder Microsoft .NET programmiert, und von den 1.388 Software-Anwendungen wiesen bis auf wenige Ausnahmen sämtliche Applikationen mehr oder weniger schwerwiegende Programmierfehler auf.

CRASH-Report - Erhebungsdaten

Allerdings, und das ist die erste Erkenntnis des CRASH-Reports, konnte keine direkte Verbindung zwischen der Größe der Anwendung (gemessen an den Codezeilen) und der Fehlerwahrscheinlichkeit innerhalb des Programmcodes festgestellt werden. Ausnahmen stellen hierbei kleinere Anwendungen dar, die mithilfe von .NET entwickelt wurden. Aber, und auch das zeigt der CWE-Benchmark, ist die Streuung möglicher Fehler bei .NET-Anwendungen deutlich höher als bei getesteten Java-Programmen.

Bestimmte Applikationstypen sind sicherer als andere

Eine weitere interessante Erkenntnis bezüglich der möglichen Programmierfehler innerhalb einer Anwendung betrifft die Applikationstypen, die sich anhand der zugehörigen Branche unterscheiden lassen. So zeigt der CRASH-Report, dass Software-Programme aus den Bereichen Finanzdienstleistungen, Telekommunikation und IT-Consulting deutlich fehleranfälliger sind als Anwendungen, die bei Energieversorgern und öffentlichen Versorgungsunternehmen zum Einsatz kommen. Im Vergleich dieser beiden Bereiche ist die Wahrscheinlichkeit eines fehlerbehafteten Codes fast doppelt so hoch.

Auch hier zeigt sich eine enorme Schwäche vieler .NET-Applikationen, die verglichen mit ähnlichen Java-Anwendungen deutlich unsicherer sind. Das betrifft vor allem die Bereiche Energieversorgung, Versicherungswesen, IT-Consulting und Produktionsgewerbe. Hier konnte ebenfalls eine doppelt so hohe Wahrscheinlichkeit für einen schadhaften Code festgestellt werden.

Software-Entwicklungsmethoden beeinflussen die Programmqualität

Ein weiteres aufschlussreiches Ergebnis betrifft die Art und Weise, welche Entwicklungsmethoden bei der Erstellung von Applikationen zum Einsatz kommen. So zeigt der CRASH-Report, dass vor allem .NET-Anwendungen ein enormes Fehlerpotential aufweisen, die mithilfe des Wasserfallmodells entwickelt wurden. Der Bericht geht sogar so weit, dass angenommen werden kann, dass diese .NET-Applikationen besonders anfällig für Cyber-Attacken und Exploits sind.

Java: Je höher die Update-Zyklen, desto fehleranfälliger die Anwendung

Schließlich sei noch auf den Zusammenhang zwischen Fehleranfälligkeit einer Anwendung und deren Update-Zyklen hingewiesen. So stellen vor allem Java-Applikationen eine hohe Gefahrenquelle für das einsetzende Unternehmen dar, die mehr als sechs Mal pro Jahr ein Update erfahren. Dies ist vor allem für Anbieter von Software eine interessante Erkenntnis, bei denen agile Software-Entwicklungsmethoden eingesetzt werden. Dazu gehört auch der gerade aufstrebende Bereich der DevOps-Entwicklung.

CRASH-Report - Update-Zyklen

Zu guter Letzt gibt es noch zwei gute Nachrichten: Bei aller Fehleranfälligkeit, vor allem von .NET-Anwendungen, hat die Wahrscheinlichkeit eines schadhaften Codes laut CRASH-Report weder etwas damit zu tun, ob die Applikation intern oder extern entwickelt wurde, noch wo dies geschieht, also unter regionalen Aspekten.

CRASH-Report - Übersicht

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung freie Hand lässt.

So gelingt der Umzug in die Cloud mithilfe eines 5-Tage-Workshops

Nicht erst seit gestern gibt es sie, diese Tendenz vieler Unternehmen, ihre IT-Infrastruktur in die Cloud zu transferieren, denn dieser Ansatzes birgt zahlreiche Vorteile:

HäkchenDie eigene IT-Landschaft muss nicht mehr aufwändig administriert und permanent aktuell gehalten werden. Das spart viel Zeit und Geld.

HäkchenGerade am Anfang wachsen Unternehmen eher unkontrolliert, was zum Beispiele mit unerwarteten Aufträgen zu tun hat, die unter anderem die IT-Infrastruktur vor Herausforderungen stellen kann. Mit einer Cloud-Infrastruktur kann jede benötigte Ressource wie zusätzliche Server- und Speicherkapazitäten einfach hinzugebucht werden. Damit gehören IT-Anschaffungen der Vergangenheit an.

Das sind nur zwei von zahlreichen Cloud-Vorteilen, die immer mehr Unternehmen für sich entdecken, doch genau an dieser Stelle kommt die schlechte Nachricht: Die große Mehrheit dieser RZ-Cloud-Migrationsprojekte scheitern, und das aus ganz unterschiedlichen Gründen. Entweder, weil es den Verantwortlichen am fundamentalen Verständnis für das Thema Cloud mangelte oder weil der Migrationsaufwand schlichtweg unterschätzt wurde oder weil es keine geeigneten Prozesse für das Überführen eigener Anwendungen in die Cloud existierten.

Dabei scheint die Materie nur auf den ersten Blick kompliziert zu sein. Denn mit den richtigen Fragen und den passenden Antworten samt einer zielführenden Unterstützung gelingt auch die Cloud-Migration. Zu den möglichen Fragen samt Antworten zählen unter anderem:

FRAGE: Was ist bei der Cloud-Migration zu berücksichtigen?

ANTWORT: IT-Umgebungen müssen immer agiler werden, um neue Anforderungen der Fachabteilungen möglichst gerecht werden zu können. In diesem Kontext spielt das Cloud Computing eine immer wichtigere Rolle. Mögliche Ansätze sind hierbei sehr vielfältig und reichen von der vollständigen Migration in die Cloud bis zum partiellen Umzug.

FRAGE: Was ist eine hybride Cloud?

ANTWORT: Eine hybride Cloud stellt beispielsweise eine Kombination aus dem eigenen Rechenzentrum und dem öffentlichen Zugriff auf Cloud-Services dar, die auf dem Server bereit gestellt werden.

FRAGE: Welche Aspekte sind beim Umzug in die Cloud zu beachten?

ANTWORT: Hierbei wird unterschieden zwischen betriebswirtschaftlichen, technischen und rechtlichen Aspekten, die bei der Migration in die Cloud berücksichtigt werden müssen.

FRAGE: Mit welchen Sicherheitsaspekten wird man  konfrontiert?

ANTWORT: Hierbei sollte man sich vor allem mit den Daten eingehend beschäftigen, die durch den Umzug in der Cloud landen. Vor allem mit denen, die qua Gesetz da eigentlich gar nicht hingehören und verschärften Sicherheitsbestimmungen unterworfen sind.

FRAGE: Wie lassen sich Applikationen in die Cloud migrieren?

ANTWORT: Wichtig in diesem Fall ist eine genaue Bewertung der Anwendungen, die in die Cloud umgezogen werden sollen. Denn nur wenn man die genauen Anforderungen der Applikationen hinsichtlich Bandbreite, Latenzzeiten, Speicherbedarf und Rechenleistung kennt, kann der Umzug der Anwendungen die Cloud gelingen.

FRAGE: Wie lassen sich Anwendungen auf deren Cloud-Readiness hin überprüfen?

ANTWORT: Mithilfe der CAST-Tools Highlight lassen sich eigene Applikation auf ihre Cloud-Readiness hin untersuchen. Damit kann man anhand detaillierter Analysen feststellen, ob und wie sich eine Anwendung in die Cloud migrieren lässt.

CAST Highlight ermittelt die Cloud-Readiness einer Anwendung

Fünf Tage, ein Workshop: So gelingt die Migration in die Cloud

Um all diese und viele weitere Fragen ausführlich beantworten zu können, haben die Firmen CAST, Microsoft und Noventum Consulting gemeinsam einen Workshop entwickelt, der sich intensiv mit dem Umzug in die Cloud beschäftigt.  Dabei steht vor allem der praktische Ansatz im Vordergrund, mit dessen Hilfe Wissen dergestalt vermittelt werden soll, dass am Ende handfeste Ergebnisse in Form eines Cloud-Umzugs stehen. Aber auch für Strategen, die sich intensiv mit der Migration in die Cloud beschäftigen wollen, wurde dieser Workshop konzipiert.

Die Vorgehensweise während des Workshops sieht wie folgt aus: Ziele, Wirkung, Transformationsstrategie und Hybrid-Cloud.

Cloud-Migrations-Workshop - Vorgehensweise

Für eine optimale Ausnutzung der fünf Tage haben sich die drei durchführenden Unternehmen für folgenden Aufbau entschieden:

Cloud-Migrations-Workshop - Aufteilung

Falls diese Herangehensweise in Form eines 5-Tage-Workshops für Sie infrage kommt, können Sie sich hierfür mithilfe des weiterführenden Links anmelden. Und für weitere Informationen dürfen Sie sich gerne das verlinkte Video ansehen, in dem die Ziele, die Methoden und der Aufbau des Workshops genau erklärt wird.

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

CAST Analysetool Enlighten

DSGVO: Software-Hersteller sollten wissen, wie ihre Applikationen mit Daten umgehen

Ende Mai 2018 beginnt in Sachen Datenschutz eine neue Zeitrechnung. Dann tritt die europaweite, einheitliche Regelung namens DSGVO endgültig in Kraft. Diese bestimmt sehr genau, wie personenbezogene Daten verarbeitet, gespeichert und gelöscht werden müssen. Damit kommen auch auf die Anbieter von Anwendungssoftware zahlreiche Aufgaben zu, die sie bis spätestens 25. Mai 2018 erledigt haben müssen. Doch welche Regelungen umfasst die DSGVO eigentlich, wenn es um den Schutz personenbezogener Daten geht? Nun, in diesem Kontext werden fünf wesentliche Aspekte genannt:

  1. Datenübertragung
  2. Datenlöschung
  3. Meldepflicht
  4. angepasster Datenschutz
  5. technik-bezogener Datenschutz

Diese fünf DSGVO-Prinzipien haben für Anbieter von Software-Anwendungen weitreichende Konsequenzen, die sie bei der Bewertung ihrer Applikationen unbedingt berücksichtigen müssen.

So bedeutet Prinzip #1 („Datenübertragung“), dass personenbezogene Daten sehr einfach und komfortabel von einem Anbieter auf einen anderen übertragen werden können. Dies hat zur Folge, dass stets klar sein muss, an welchen Stellen eine Applikation Daten speichert und wie man diese mit einfachen Methoden zusammenfassen und speichern kann.

Software-Bewertung: An welchen Stellen werden Daten gespeichert? Wie lassen sich Daten transferieren? Wie lassen sich mehrere Datensätze eines Anwenders zu einem einzigen Datensatz zusammenfassen?  

Prinzip #2 („Datenlöschung“) wiederum besagt, dass Anwender jederzeit das Löschen ihrer Daten verlangen können, sobald die Legitimierung für das Speichern ihrer Daten entfällt. Daraus ergibt sich die Konsequenz, dass sämtliche Daten eines bestimmten Nutzers innerhalb der Anwendung gelöscht werden müssen. Das betrifft alle zentral und dezentral gespeicherte Daten.

Software-Bewertung: An welchen Stellen werden Daten gespeichert? Wie lassen sich diese rückstandsfrei löschen? Wie kann das am besten mit wenigen Handgriffen geschehen?

Das dritte Prinzip („Meldepflicht“) hat weitreichende Folgen für sämtliche Unternehmen, die in den Geltungsbereich der DSGVO fallen (und das sind so ziemlich alle). Es besagt nämlich, dass eine Firma, die Opfer eines Hackerangriffs wurde, (in dessen Zuge personengezogene Daten entwendet wurden) diesen Datenklau sofort der nationalen Aufsichtsbehörde melden müssen.

Software-Bewertung: Wie lässt sich feststellen, ob Daten abhanden gekommen sind? Welche Daten sind besonders schützenswürdig? Wie anfällig ist die Software-Applikation gegenüber möglichen Hackerangriffen? An welchen Stellen der Anwendung ist das Risiko eines Datenklaus besonders hoch?

Prinzip Nummer 4 („angepasster Datenschutz“) besagt, dass Datenschutz nicht mehr generell betrachtet werden kann, sondern den jeweiligen Risiken angepasst werden muss, denen ein Unternehmen ausgesetzt ist. Das soll sicherstellen, dass Firmen beispielsweise eine Risikobewertung ihrer gesamten IT-Infrastruktur vornehmen, um klarzustellen, dass ihnen diese Risiken bewusst sind und wie sie diese zu minimieren bzw. auszuschließen gedenken.

Software-Bewertung: Wie sicher sind die Daten innerhalb einer Anwendung? Wie hoch ist das Risiko eines Datenstörfalls? Wie lassen sich vorhandene Risiken reduzieren? An welchen Schnittstellen bestehen besondere Risiken?

Das Prinzip #5 („technik-bezogener Datenschutz“) schließlich wendet sich direkt an Software-Anbieter und -Hersteller, indem es die Einhaltung bestimmter Grundsätze fordert. So sollen Anwendungsprogramme künftig personenbezogene Daten bestmöglich schützen und diese von Anfang an nur dann verarbeiten bzw. speichern, wenn sich das überhaupt nicht vermeiden lässt. Diese zwei Ansätze sind unter den Begriffen „Privacy by Design“ und „Privacy by Default“ bekannt.

Software-Bewertung: Wie lässt sich sicherstellen, dass Software von Anfang den hohen Datenschutzanforderungen der DSGVO entspricht? Welche default-mäßigen Einstellungen sorgen für einen bestmöglichen Datenschutz? 

CAST-Analysesoftware hilft beim Bewerten der eigenen Anwendungssoftware

Bei der Beantwortung all dieser und weiterer Fragen rund um die DSGVO helfen die Analysetools von CAST, indem die Anwendungssoftware einmal vollständig auf Schwachstellen und mögliche Risiken untersucht wird. Anhand dieser Bewertung kann der Anbieter seiner Anwendungssoftware einen exakten Maßnahmenkatalog erstellen, wie er die identifizieren Sollbruchstellen eliminieren kann. Denn nur dann können Software-Hersteller sicher sein, dass ihre Produkte den Anforderungen der DSGVO entsprechen.

So lässt sich beispielsweise mithilfe des Analysetools CAST Enlighten identifizieren, wo und wie Daten verarbeitet werden. Und das mittels einer durchgängigen Visualisierung aller Transaktionen einer Anwendungen. Aber auch das Anlegen eines Registers bzw. einer Matrix aller schützenswerter Daten ist mit den CAST mühelos möglich.

CAST Analysetool Enlighten

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

 

CAST Application Intelligence Platform (AIP)

Darum kommen CAST Software-Analysetools verstärkt in DevOps-Projekten zum Einsatz

Am 20. Oktober diesen Jahres war ich auf einem IDC-Event, der sich einen ganzen Vormittag lang mit dem Thema DevOps beschäftigte. Dabei habe ich eine ganze Menge gelernt:

HäkchenLaut einer IDC-Studie sind zwar 75 Prozent der befragten Unternehmen bereit für eine funktionierende DevOps-Organisation, davon sehen sich allerdings gerade einmal 13 Prozent bereits am DevOps-Ziel. Womit klar ist: Es gibt noch viel zu tun!

HäkchenEs existieren vor allem vier Bereiche, in denen für eine funktionierende DevOps-Organisation die richtigen Maßnahmen ergriffen werden müssen: Firmenkultur & Firmenleitung, Technik & Automatisierung, Metriken & Messungen sowie Zusammenarbeit & Teamwork.

HäkchenImmer noch fehlt es vielen Firmen an der Erkenntnis, dass zu funktionierenden DevOps-Prozessen „Fehler machen“ und „scheitern“ genauso dazu gehört wie das Implementieren der notwendigen Abläufe. Aber auch die Unternehmenskommunikation muss an DevOps-Prozesse angepasst werden.

HäkchenDie Praxis zeigt: Dort, wo DevOps-Strukturen aufgebaut wurden und funktionieren, konnten Release-Zeiten von Software-Updates von Monaten auf Wochen reduziert werden, und das bei gleichzeitiger Verbesserung der gesamten Applikationssicherheit.

Was ist eigentlich dieses DevOps?

DevOps ist ein Kunstbegriff, der sich aus den Bezeichnungen „Development“ (Entwicklung) und „Operations“ (IT-Betrieb) zusammensetzt. Damit soll in einem Unternehmen eine Organisation implementiert werden, mit deren Hilfe die verschiedenen Prozesse von IT-Teams und Softwareentwicklung weitestgehend automatisiert werden können.

Auf dieser Basis lässt sich zuverlässige Software permanent weiterentwickeln, testen, modifizieren und mit hoher Geschwindigkeit aktualisieren. Dabei steht vor allem das Verschmelzen von einzelnen Teams im Vordergrund, die kritische Probleme schneller lösen und ungeplante Arbeiten besser bewältigen können.

DevOps-Zyklus

Wer braucht dieses DevOps?

Anwender wollen vor allem eins: immer schnellere Software-Update-Zyklen. Und genau darauf müssen sich Software-Firmen einstellen, damit sie die Nachfrage an permanent neuen und verbesserten Funktionen befriedigen können. Doch dieses Tempo hat seinen Preis, der oft zu Ungunsten von Qualität und Sicherheit geht. Und genau dieses Dilemma gilt es aufzulösen: Wie stelle ich sicher, bei ständig zunehmenden Update-Zyklen die Qualität und Sicherheit nicht aus den Augen zu verlieren?

Hierbei helfen die verschiedenen DevOps-Methoden, die sich sehr stark an den Methoden der agilen Software-Entwicklung orientieren. Nur dass im DevOps-Falle die Software-Entwicklung und der IT-Betrieb dieselben Methoden anwenden. Damit wird sichergestellt, dass es keinen Bruch gibt zwischen Software-Erstellung und Software-Bereitstellung.

So funktioniert die DevOps-Werkzeugkette

Eine DevOps-Werkzeugkette ist ein System von zahlreichen Tools, mit deren Hilfe die Software-Entwicklung und das Ausliefern der fertigen Anwendungen automatisiert werden kann. Folgende Schritte umfasst eine typische DevOps-Toolchain: Coding (Entwicklung, Review, Management), Build (durchgehende Integration), Testen (kontinuierliches Testen und Feedback), Packaging, Freigabe (Automatisierung und Verwaltung), Konfigurieren sowie das Monitoring (Leistung, Zufriedenheit).

Exkurs: Das sind die wesentlichen Unterschiede von agilen und DevOps-Softwareprojekten

Agile und DevOps-basierte Software-Projekte sind sich recht ähnlich, allerdings gibt es diverse Unterschiede. Zu den wesentlichen gehören drei: Fertigstellung, Teamgröße und Zeitplanung. Bei der Fertigstellung gehen agile Projekte davon aus, dass mit Erreichen des Tags X das Projekt abgeschlossen ist. DevOps-Projekte hingegen verhalten sich wie ein Perpetuum Mobile: Die Entwicklung und das Bereitstellen von Software ist ein fortlaufender Prozess.

In Sachen Teamgröße setzen agile Projekte eher auf kleinere Teams von wenigen Personen, die einzelne Teile eines Projektes schnell finalisieren können, woraus am Schluss das große Ganze entsteht. Bei DevOps-Projekten hingegen arbeiten größere Teams zusammen, die auf dasselbe Ziele hinarbeiten. Hinsichtlich der Zeitplanung werden agile Projekte in Sprints zerlegt, die nur kurze Abschnitte von meist wenigen Tagen kennen. DevOps-Projekte hingegen weisen keine festen Zeitpläne auf, da stets das bestmögliche Produkt im Vordergrund steht.

So kommt CAST-Analysesoftware in DevOps-Projekten zum Einsatz

Gerade im Hinblick auf die kontinuierliche Entwicklung und Veröffentlichung von Software lässt sich die Qualität der Applikation sehr gut mit CAST-Software überprüfen. So erstellen die CAST-Analysetools ein exaktes Fehlerbild der Software, auf dessen Basis die Anwendungsentwickler die identifizierten Schwachstellen und Bugs eliminieren können. Dazu zählt namentlich die CAST Application Intelligence Platform (AIP), mit deren Hilfe eine Anwendung vollständig auf ihre Code-Qualität untersucht werden kann, und das über sämtliche Ebenen der Software hinweg.

CAST Application Intelligence Platform (AIP)

Das führt bei großen Unternehmen wie Fannie Mae dazu, das im Rahmen von mehr als 150 Scrum-Projekten (die über 4.000 Builds und über 12.000 Deployments pro Monat generieren) fast 50 Prozent weniger kritische Verstöße vorkommen, eine über 25 Prozent höhere Effizienz erzielt und die Kosten um mehr als 30 Prozent gesenkt werden konnten. Das hat unter anderem mit der sehr anschaulichen Darstellung der Analyseergebnisse mithilfe der zahlreichen Dashboards zu tun, aber auch mit der automatisierten Überprüfung der Software-Qualität während des Produktionsprozesses der Applikation.

Videoexkurs: So setzt die US-Hypothekenbank Fannie Mae die CAST Application Intelligence Platform zu Qualitätssicherungszwecken bei der Software-Entwicklung

httpss://www.youtube.com/watch?time_continue=8&v=bTpUHJ9F2vs

 

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

CAST Software - Dashboard-Ansicht

Darum sind CAST-Analysetools echte DSVGO-Helfer

Letzten Freitag war ich auf einer IDC-Veranstaltung zum Thema DSGVO. Dabei habe ich zahlreiche Dinge gelernt:

  • Etwa die Hälfte aller deutschen Unternehmen mit mehr als 20 Mitarbeitern sind nicht ausreichend auf die künftige Datenschutzgrundverordnung (DSGVO) vorbereitet. Das bedeutet im schlimmsten Fall, dass sie mit drakonischen Strafen rechnen müssen (die Rede ist von bis zu 20 Millionen Euro oder 4 Prozent vom jährlichen Umsatz der Firma!).
  • Das Thema Datenschutzbeauftragter wird eine ganz neue Bedeutung erfahren. Auch hier hinken viele der von IDC befragten Unternehmen hinterher.
  • Die technische und organisatorische Umsetzung der DSGVO-Kriterien stellt zahlreiche Unternehmen vor erhebliche Herausforderungen, vor allem den Mittelstand.

Und genau an dieser Stelle kommt die Firma CAST ins Spiel. Zwar nicht im organisatorischen, aber im technischen Sinne. Das sieht im Einzelnen wie folgt aus.

Technische Maßnahmen bewerten, die für mehr Sicherheit sorgen

Forderung: Betreiber von Cloud-Plattformen und andere Firmen werden ab Mai 2018 unter anderem daran gemessen, wie sicher Daten verarbeitet und gespeichert werden. Dies erfordert ein gesamtseitliches IT-Sicherheitsmanagement.

CAST-Unterstützung: Die Analysetools von CAST zeigen ganz genau, wie und wo schützenswerte Daten verarbeitet und gespeichert werden. Dabei werden nicht nur einzelne Anwendungen betrachtet, sondern die vollständige Verarbeitungskette, also vom Eingabegeräte bis zum Großrechner. CAST nennt das holistische Analyse. Sobald das Ergebnis dieser umfassenden Analyse vorliegt, wird eine Handlungsempfehlung erstellt, an welchen Stellen der Anwendungen und Schnittstellen nachgebessert werden muss.

Zuverlässigkeit von Anwendungen überprüfen

Forderung: Die DSGVO stellt hohe technische Anforderungen an Systeme und Dienste. Daher müssen deren Anbieter resp. Betreiber regelmäßig deren Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sicherstellen.

CAST-Unterstützung: Die CAST-Analysewerkzeuge basierten auf objektiven Standards, mit deren Hilfe man die Qualität einer Anwendung oder eines Service in Sachen Sicherheit und Belastbarkeit bewerten kann. Hierzu kommen die Standards des CISQ und der OMG zum Einsatz, die objektive Kennzahlen einer Anwendung bereitstellen. Auf dieser Basis lässt sich feststellen, wie zuverlässig eine Applikation arbeitet, woraus sich notwendige Maßnahmen ableiten und ergreifen lassen.

OMG/CISQ-Indikatoren machen CAST-Analysen so aussagekräftig

OMG/CISQ-Indikatoren machen CAST-Analysen so aussagekräftig

Datenschutz „by Design“ und „by Default“ sicherstellen

Forderung: Zwei wesentliche Grundprinzipien des Datenschutzes rücken verstärkt in den DSGVO-Fokus: „Data Protection by Design“ und „Data Protection by Default“. Damit sollen Anwendungen und Services von Anfang an nur die Daten erfassen, die unbedingt für die Anwendung notwendig sind.

CAST-Unterstützung: Mithilfe einer holistische Analyse lassen sich vollständige Transaktion, also vom Start- bis zum Endpunkt, transparent und damit nachverfolgbar machen. Dies stellt sicher, ob Daten im Sinne der DSGVO richtig verarbeitet werden und nicht auf unangemessene Weise adressiert werden. Dabei helfen Tools, „Data Protection by Design“ zu erzwingen und nachzuweisen.

Risikoeinschätzung selber vornehmen

Forderung: Unternehmen, die besonders sensible Daten verarbeiten und speichern, müssen künftig einschätzen können, mit welcher Wahrscheinlichkeit sich das Risiko eines Datenmissbrauchs, -verlusts, etc. beziffern lässt und welche Folgen daraus entstehen können.

CAST-Unterstützung: Die CAST-Analysetools durchforsten Anwendungen auf sämtliche Schwachstellen hin, die Verstöße und Sicherheitsverletzungen im Sinne des DSGVO zur Folge haben können – und das, bevor eine Anwendung in den Produktionsstatus übergeht. Damit lassen sich mögliche Cyberangriffe im Vorfeld genauso ausschließen wie Compliance-Vergehen aufgrund nicht autorisierter Prozesse. Auch hier kommen die Standards der OMG oder des CISQ zur Anwendung.

Der holistische Analyseansatz von CAST

Der holistische Analyseansatz von CAST

Dokumentationspflicht von Anfang an

Forderung: Die DSGVO fordert künftig von Unternehmen, mögliche datenschutzrechtliche Verletzungen genau zu dokumentieren. Darin müssen alle Fakten beschrieben werden, die eine Datenschutzverletzung ermöglichen können und wie diese Schwachstellen behoben werden sollen.

CAST-Unterstützung: Mithilfe des holistischen Analyseansatzes können CAST-Tools ein genaues Abbild der zu untersuchenden Anwendung erstellen, woraus sich objektive Kennzahlen ableiten lassen, die etwas über die tatsächliche Qualität der Applikation aussagen. Da dieser Vorgang beliebig wiederholt werden kann, erhält man eine zeitbezogene Veränderung der Anwendung, was einer kontinuierlichen Dokumentation entspricht.

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

CAST Software - Dashboard-Ansicht

Was die US-Firma CAST mit der IT-SA 2017 zu tun hat

CAST logoGestern ging die IT-SA 2017 in Nürnberg zu Ende, und eines scheint wohl vielen Besuchern klar geworden zu sein: Das Thema Sicherheit geht jeden etwas an, und mit einer Strategie, die auf dem Vogel-Strauß-Prinzip basiert, werden die allermeisten Firmen keinen Erfolg haben. Im Gegenteil.

Denn spätestens mit Einführung der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) werden sich CEOs, CIOs, CTOs und alle anderen Verantwortlichen von Unternehmen mit dieser Abkürzung intensiv beschäftigen müssen. Besser noch: davor.

Denn im Grunde sollten alle Systeme, ob Hard- oder Software, den strengen Regelungen des EU-DSGVO gewachsen sein. Sind sie es nicht, sehen die Datenschutzhüter aus Brüssel für Vergehen – egal, ob gewollte und ungewollte – empfindliche Strafen vor.

CAST hilft, Verstöße gegen die EU-DSGVO zu vermeiden

Und genau an dieser Stelle kommt die US-Firma CAST ins Spiel. Denn mit ihren erprobten und zuverlässig arbeitenden Software-Methoden und -Werkzeugen hilft CAST Firmen und IT-Organisationen bei der Einhaltung der strengen Datenschutzverordnungen, die ab Mai 2018 auf sie zukommen.

Hierfür hat CAST diverse Tools und Produkte im Portfolio, mit denen sich jedwede Anwendungssoftware exakt analysieren lässt. Damit lassen sich mit relativ geringem Aufwand all diejenigen Schwachstellen aufspüren und eliminieren, die vor allem hinsichtlich der bevorstehenden EU-DSGVO kritisch werden können. Damit lassen sich unter anderem folgende Fragen beantworten:

Wo genau werden schützenswerte Daten gespeichert?

Welche Transaktionen und Anwendungen greifen auf Daten zu?

Welche Verfahren müssen verbessert werden, um ein angemessenes Datenschutzniveau zu erreichen?

Um all diese Schwachstellen innerhalb einer Anwendungssoftware identifizieren zu können, greift die Firma CAST auf drei wesentliche Grundprinzipen zurück:

1. Eine 25-jährige Erfahrung, die in jede Analyse und jede Bewertung von Software einfließt UND

2. eine holistische Anwendungsanalyse, die über alle Ebeneren funktioniert UND

3. eine Analysesoftware, die höchsten Qualitätsansprüchen genügt.

Die 25-jährige Erfahrung spiegelt sich vor allem in einer permanenten Weiterentwicklung der CAST’schen Softwaretools wider, was sich wiederum darin niederschlägt, dass hunderte international operierende Konzerne wie Airbus, Allianz, UniCredit, etc. den CAST-Softwarelösungen vertrauen. Zudem setzen Firmen wie IBM, Atos, Capgemini und andere bekannten Unternehmen CAST-Tools zu internen Zwecken ein.

Der holistische Ansatz macht den Unterschied

Tools wie SonarQube sind im Vergleich zu CAST-Werkzeugen und ihren Analysen recht eindimensional, da sie nur die einzelnen Bausteine einer kompletten Anwendungen betrachten, aber nicht das große Ganze. Und genau das ist gemeint mit dem holistischen Ansatz von CAST.

Hier werden sämtliche Anwendungen einer globalen Applikation auf mögliche Fehler hin untersucht, also von der Eingabequelle wie beispielsweise einer iPhone-App bis zu hin zur Transaktionsanwendung, die auf einem Mainframe-Rechner ihren Dienst verrichtet. Denn nur mit dieser vollumfänglichen Analyse über alle Ebenen hinweg können auch die sogenannten Sollbruchstellen überprüft werden, an denen es in 90 Prozent aller Fälle zu den größten Sicherheits- und Stabilitätsproblemen kommt.

Der holistische Analyseansatz der CAST Softwaretools macht den Unterschied

CAST-Software folgt den höchsten Softwarestandards

Für die Zuverlässigkeit einer Software, die mithilfe von CAST-Tools analysiert und bewertet werden soll, ist es unumgänglich, dass Standards zum Einsatz kommen. Aus diesem Grund setzt CAST seit Anfang an auf die Konformität, die sich aus dem Regelwerk anerkannter Institutionen ergibt. Dazu gehört das Software Engineering Institute (SEI), die Integration Standards Organization (ISO), das  und das Institute of Electrical and Eletronics Engineers (IEEE). Damit ist jederzeit eine bestmögliche Einhaltung bekannter Software-Standards gewährleistet.

CAST adressiert CIOs, IT-Admins und mehr

Die Analysetools von CAST folgen einem schlichten Credo: Es sollen immer genau die Daten zur Verfügung gestellt werden, die für die jeweilige Anwendergruppe relevant sind. So stellt beispielsweise das Management-Dashboard Metriken wie Ausfallrisiko einer Anwendungssoftware anschaulich dar. Damit lassen sich applikationsgenau Ressourcen festlegen und priorisieren, um bestehende Schwachstellen zu eliminieren.

Darüber hinaus können Produktmanager und Architekten mithilfe des Trend-Dashboards sehr genau die Entwicklung einer Anwendung analysieren und bewerten. Damit können sie feststellen, wie gut eine Software performt und wo mögliche Potentiale schlummern. Und zu guter Letzt bieten detaillierte Ansichten all die Informationen, die für Software-Entwickler bei der Behebung von Schwachstellen und schadhaftem Code wichtig sind.

CAST Software - Dashboard-Ansicht

CAST Software - Dashboard-Ansicht für Entwickler

Und was die Software-Tools von CAST sonst noch alles leisten, das erfahrt ihr zu einem späteren Zeitpunkt im nächsten CAST-Blogpost.

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.