DevOps-Community

Bei Accso ist GitLab eines der wichtigsten Tools für die Teilprozesse Build, Test und Deploy. Aber wie verwendet man es optimal? Welche Features sind zu empfehlen, welche eher nicht? Und wie verwendet man GitLab zum Beispiel für Projekte aus dem .NET Bereich?

Wir haben GibLab-Pipelines zu unserem aktuellen Fokusprojekt gemacht und arbeiten zusammen in der Community an einer exemplarischen Umsetzung eines kompletten CI/CD-Prozesses für den Bau einer .NET-Applikation. Dabei decken wir auch Aspekte wie die Prüfung auf Sicherheitslücken – statisch über OWASP, dynamisch über ZAP – ab.

Schulungen sind ein zentraler Bestandteil unserer Arbeit, weshalb wir gemeinsamen zwei interne Weiterbildungen konzipiert haben.

Zum einen gibt es eine Schulung als Einführung zu DevOps, die auch die nicht-technischen Aspekte wie zum Beispiel die optimale Teamstruktur abdeckt. In ihr lernen unsere Accsonaut:innen das Mind-Set von DevOps und alles, worauf man bei der Software-Entwicklung noch achten muss, damit es beim Betrieb keine bösen Überraschungen gibt.

Zum anderen gibt es eine Fortgeschrittenenschulung über Docker. Seit Jahren ist Docker ein zentraler Bestandteil einer modernen Betriebsumgebung und alle Entwickler:innen können inzwischen das Einmaleins im Umgang. Aber wie ist es mit anspruchsvollen Themen, wie zum Beispiel Debugging von Images, den kniffligen Unterschieden zwischen Command und Entrypoint, der Einschränkung von Berechtigungen über Capabilities oder das Scannen von Images auf Sicherheitslücken? Alles das und noch vieles mehr deckt unser Praktikum ab!

Ein wesentlicher Aspekt einer Build-Pipeline ist das Scannen der Software auf mögliche Sicherheitslücken. Während es auf technischer Ebene einen ganzen Zoo an Scan-Werkzeugen gibt, sind diese auf der Prozessebene nur spärlich vorhanden. Was braucht man für einen nachhaltigen Prozess für den Entwickler (oder die Architektin), damit über die Releases hinweg mögliche Bedrohungen verwaltet werden können?

Das ursprünglich als Praktikumsarbeit erstellte Tool AccScan dient als Testbed für unsere Arbeit mit dynamischen und statischen Bedrohungen. Es ist auch Bestandteil eines Übungsblocks in der Accso Vorlesung “Software-Integrationsprojekt” an der Hochschule Bonn Rhein Sieg. Es wird derzeit weiterentwickelt, damit die Einstufung einer Bedrohung über die Kriterien der CVSS 3.1 sauber dokumentiert werden können.