DevSecOps ist ein Ansatz für das Software-Engineering, der die Sicherheit in den Vordergrund stellt und Sicherheitspraktiken in den gesamten Lebenszyklus der Softwareentwicklung (SDLC) einbezieht, indem er Entwicklung und Betrieb miteinander verbindet. Ferner orientieren wir uns am OpenSAMM Framework. Bei Clever Elements werden die folgenden Sicherheitsaktivitäten innerhalb des DevSecOps-Zyklus durchgeführt.

Bereits in der Planungsphase wird die Sicherheit bei der Priorisierung von Issues berücksichtigt. Sicherheitsprobleme werden mit einem entsprechenden Security-Flag im Ticketsystem priorisiert und anschließend bearbeitet.

Alle Quellcodeänderungen erfordern einen Eintrag im Änderungsprotokoll, in dem die vorgenommenen Änderungen beschrieben werden. Die Entwickler werden für die Einhaltung der (Sicherheits-) Best-Practice-Richtlinien geschult. Clever Elements hat außerdem ein 4-Augen-Prinzip für alle Änderungen eingeführt, bei dem ein zweiter Entwickler die (potenziellen) Änderungen überprüfen und bestätigen muss (obligatorische Peer Review).

Jede Version wird kontinuierlich (täglich) auf bekannte Sicherheitslücken hin überprüft:

Innerhalb der Entwicklungspipeline werden umfangreiche Unit-, Integrations- und Frontend-Tests durchgeführt, um die ordnungsgemäße Integration jeder Änderung sicherzustellen und mögliche negative Auswirkungen zu reduzieren. Jede Änderung und Erweiterung bei Clever Elements wird in einer vollständigen und unabhängigen Testumgebung ohne Einbeziehung von Kundendaten getestet.

Clever Elements folgt der branchenüblichen Best Practice, indem es eine dreistufige Umgebung für Entwicklung, Test und Produktion hat, die vollständig voneinander getrennt sind. Der Entwicklungszweig wird wöchentlich in die Testumgebung übertragen. Nach einer einwöchigen Testphase (User Acceptance Test), in der die Clever Elements-Mitarbeiter die neue Version in ihrem Arbeitsalltag kennenlernen, wird die Version in die Produktionsumgebung übertragen.

Clever Elements setzt standardisierte Container-Images für die Produktionsumgebung ein. Grundlage für die Container sind gehärtete Images und Konfigurationen nach Best-Practice-Standards des jeweiligen Herstellers (Image Assurance).

Die Cloud-Ressourcen aller Systeme sind durch rollenbasierte Zugriffskontrolle (RBAC) oder Zugriffskontrolllisten (ACL) gesichert. Der Zugriff auf Kundendaten ist nur für unsere Site-Reliability-Ingenieure mit separaten administrativen Benutzerkonten und erzwungener FIDO2-basierter Authentifizierung möglich, die durch Hardware-Tokens unterstützt wird.

Auf Infrastrukturebene gewährleisten wir das gleiche Sicherheitsniveau wie für die Anwendung, indem wir einen Mechanismus einrichten und pflegen, der kontinuierlich überprüft, ob neue Schwachstellen (CVEs) für unsere Infrastrukturkomponenten behoben werden müssen.