Engel & Völkers Lizenzpartner Regensburg > Blog > SonarQube & DevSecOps - Die Verbesserung der Code-Qualität und der Sicherheit geht Hand in Hand

SonarQube & DevSecOps - Die Verbesserung der Code-Qualität und der Sicherheit geht Hand in Hand


SonarQube - Statische Code Analyse zur Verbesserung der Code-Qualität

SonarQube ist eine Plattform, auf der die Code Qualität aller Softwareentwicklungsprojekte zentral gemanagt und stetig verbessert werden kann. 

Die zentrale Funktion von SonarQube ist die statische Analyse (SAST - Static Application Security Testing) der gesamten Code Basis, um Bugs, Sicherheitslücken und unsauber implementierte Programmteile zu identifizieren, die schwierig zu pflegen und anzupassen sind. Hierbei werden sehr viele unterschiedliche Programmiersprachen unterstützt, was SonarQube von anderen Lösungen abhebt. 

Desweiteren wird bei Engel & Völkers mit SonarQube die Einhaltung von gemeinsamen Coding Richtlinien überprüft. Die hierzu nötigen Regeln werden zentral gemanagt und können so für alle Projekte zugleich gepflegt und nachgehalten werden.  All dies trägt dazu bei, die sogenannte „technical debt“ abzuschätzen und gezielt, auch für ältere Software, zu beseitigen. 

Die Resultate der statischen Codeanalyse werden zentral verwaltet, sodass jederzeit die Qualität der Code Basis aller Engel & Völkers Softwareentwicklungsprojekte, sowie deren Veränderung über die Zeit verfolgt werden kann. Dies hilft nicht nur den Entwicklern bei der Verbesserung der Software, sondern gibt auch Managern einen quantifizierten Einblick in die aktuelle Lage. 

Die Ziele guter Code Qualität und einfacher Wartbarkeit werden bei Engel & Völkers nicht nur durch die statische Code Analyse erreicht, sondern ergänzend auch durch Peer-Reviews und Tandem-Programmierung.


Was hat das mit Informationssicherheit zu tun?

Mit SonarQube bringen wir gleich zwei Anforderungen an unsere Software voran: Die generelle Code Qualität und die Entwicklung sicherer Software. Bei den durchgeführten Tests werden nämlich auch Sicherheitsanforderungen überprüft, zum Beispiel die Nutzung von unsicheren Methoden, veralteter Kryptografie-Bibliotheken, vergessene Debug-Ausgaben und vieles mehr. 

Generell hat das IT-Sicherheitsteam von Engel & Völkers den Anspruch, mit neuen Sicherheitsmaßnahmen gleichzeitig die Entwickler und andere Teams bei ihrer täglichen Arbeit zu unterstützen und so eine gute Zusammenarbeit und eine sicherheitsorientierte Kultur zu fördern.


DevSecOps

Das DevSecOps-Konzept verfolgt das Ziel, Sicherheitsmaßnahmen direkt im Entwicklungsprozess zu integrieren und nicht erst - wie im Wasserfallmodell - am Ende der eigentlichen Entwicklung. An dieser Stelle kann es oft schon zu spät sein, um z.B. grundsätzliche Architekturentscheidungen zu verändern, die aus Sicherheitssicht bedenklich sind. Die Software bei Engel & Völkers wird kontinuierlich weiterentwickelt und es ist eine große Herausforderung, Sicherheitsanforderungen im schnelllebigen DevOps-Umfeld nicht aus dem Auge zu verlieren. Die statische Codeanalyse ist ein DevSecOps-Element, dass uns hierbei unterstützt. Manuelle, klassische Sicherheitsüberprüfungen sind hier häufig zu langsam und werden daher zunehmend durch automatisierte Checks ergänzt.

 Regensburg
- Engel & Völkers Technology

Im Gegensatz zum klassischen Wasserfallansatz steht bei DevSecOps die Automatisierung und die Etablierung einer sicherheitsaffinen Coding Kultur gleichermaßen im Fokus. Neben der statischen Codeanalyse und anderen automatisierten Security Tools ist die Förderung des Sicherheitsbewusstseins und des Security Know-Hows der Entwickler („cross-skilling“) unabdingbar, um langfristig sichere Software zu entwickeln.

Zusammenfassend verfolgen wir mit dem DevSecOps-Konzept das Ziel, die Entwickler dabei zu unterstützen, schneller bessere und sicherere Software zu entwickeln, statt sie durch langwierige Audits und Prüfungen in ihrer Arbeit zu blockieren. Sicherheit wird so in den DevOps Lifecycle integriert, anstatt moderne Arbeitsmethoden in klassische Sicherheitsmaßnahmen zu zwängen.

Kontaktieren Sie uns jetzt
Engel & Völkers
Lizenzpartner Regensburg
  • Rote-Hahnen-Gasse 6
    93047 Regensburg
    Deutschland
  • Fax: +49 941-2000-1199

Öffnungszeiten unseres Shops:

Mo - Fr: 9.30 bis 18 Uhr

Sa: 10 bis 14 Uhr

Wir kennen den Marktwert Ihrer Immobilie

Wissen Sie, was Ihre Immobilie aktuell wert ist? Ganz gleich, ob Sie sich zunächst nur über ihren derzeitigen Marktwert informieren möchten oder ob Sie Ihre Immobilie zu den bestmöglichen Bedingungen verkaufen wollen: Unsere erfahrenen Vermarktungsexperten stehen Ihnen gerne für eine kostenfreie und unverbindliche Wertermittlung zur Seite.

Folgen Sie uns auf Social Media