SonarQube ist eine Plattform, auf der die Code Qualität aller Softwareentwicklungsprojekte zentral gemanagt und stetig verbessert werden kann.
Die zentrale Funktion von SonarQube ist die statische Analyse (SAST - Static Application Security Testing) der gesamten Code Basis, um Bugs, Sicherheitslücken und unsauber implementierte Programmteile zu identifizieren, die schwierig zu pflegen und anzupassen sind. Hierbei werden sehr viele unterschiedliche Programmiersprachen unterstützt, was SonarQube von anderen Lösungen abhebt.
Desweiteren wird bei Engel & Völkers mit SonarQube die Einhaltung von gemeinsamen Coding Richtlinien überprüft. Die hierzu nötigen Regeln werden zentral gemanagt und können so für alle Projekte zugleich gepflegt und nachgehalten werden. All dies trägt dazu bei, die sogenannte „technical debt“ abzuschätzen und gezielt, auch für ältere Software, zu beseitigen.
Die Resultate der statischen Codeanalyse werden zentral verwaltet, sodass jederzeit die Qualität der Code Basis aller Engel & Völkers Softwareentwicklungsprojekte, sowie deren Veränderung über die Zeit verfolgt werden kann. Dies hilft nicht nur den Entwicklern bei der Verbesserung der Software, sondern gibt auch Managern einen quantifizierten Einblick in die aktuelle Lage.
Die Ziele guter Code Qualität und einfacher Wartbarkeit werden bei Engel & Völkers nicht nur durch die statische Code Analyse erreicht, sondern ergänzend auch durch Peer-Reviews und Tandem-Programmierung.
Mit SonarQube bringen wir gleich zwei Anforderungen an unsere Software voran: Die generelle Code Qualität und die Entwicklung sicherer Software. Bei den durchgeführten Tests werden nämlich auch Sicherheitsanforderungen überprüft, zum Beispiel die Nutzung von unsicheren Methoden, veralteter Kryptografie-Bibliotheken, vergessene Debug-Ausgaben und vieles mehr.
Generell hat das IT-Sicherheitsteam von Engel & Völkers den Anspruch, mit neuen Sicherheitsmaßnahmen gleichzeitig die Entwickler und andere Teams bei ihrer täglichen Arbeit zu unterstützen und so eine gute Zusammenarbeit und eine sicherheitsorientierte Kultur zu fördern.
Das DevSecOps-Konzept verfolgt das Ziel, Sicherheitsmaßnahmen direkt im Entwicklungsprozess zu integrieren und nicht erst - wie im Wasserfallmodell - am Ende der eigentlichen Entwicklung. An dieser Stelle kann es oft schon zu spät sein, um z.B. grundsätzliche Architekturentscheidungen zu verändern, die aus Sicherheitssicht bedenklich sind. Die Software bei Engel & Völkers wird kontinuierlich weiterentwickelt und es ist eine große Herausforderung, Sicherheitsanforderungen im schnelllebigen DevOps-Umfeld nicht aus dem Auge zu verlieren. Die statische Codeanalyse ist ein DevSecOps-Element, dass uns hierbei unterstützt. Manuelle, klassische Sicherheitsüberprüfungen sind hier häufig zu langsam und werden daher zunehmend durch automatisierte Checks ergänzt.
Im Gegensatz zum klassischen Wasserfallansatz steht bei DevSecOps die Automatisierung und die Etablierung einer sicherheitsaffinen Coding Kultur gleichermaßen im Fokus. Neben der statischen Codeanalyse und anderen automatisierten Security Tools ist die Förderung des Sicherheitsbewusstseins und des Security Know-Hows der Entwickler („cross-skilling“) unabdingbar, um langfristig sichere Software zu entwickeln.
Zusammenfassend verfolgen wir mit dem DevSecOps-Konzept das Ziel, die Entwickler dabei zu unterstützen, schneller bessere und sicherere Software zu entwickeln, statt sie durch langwierige Audits und Prüfungen in ihrer Arbeit zu blockieren. Sicherheit wird so in den DevOps Lifecycle integriert, anstatt moderne Arbeitsmethoden in klassische Sicherheitsmaßnahmen zu zwängen.