Shift-Left-Appell

Nur DevSecOps kann das Metaverse retten!

Kommentar  23.05.2022
Von 


Shachar Menashe ist Senior Director bei JFrog Security Research.
Das Metaverse wird auch in Bezug auf Code ausufern. Das macht Supply-Chain-Sicherheit, automatisiertes Scanning und Testing sowie kontinierliche Updates obligatorisch.
Der schöne, immersive Traum vom Metaverse dürfte sich ohne DevSecOps schnell in Luft auflösen - davon ist unser Autor überzeugt.
Der schöne, immersive Traum vom Metaverse dürfte sich ohne DevSecOps schnell in Luft auflösen - davon ist unser Autor überzeugt.
Foto: DC Studio - shutterstock.com

Definiert als ein Netzwerk aus virtuellen 3D-Welten, das mit Hilfe von Personal Computing, Virtual- und Augmented Reality soziale Beziehungen verbessern will, war das Metaverse einst ein Nischenkonzept, mit dem sich - wenn überhaupt - nur wenige gedanklich auseinandergesetzt haben. Mit der Umbenennung von Facebook in Meta rückte das Metaverse ins Rampenlicht - inzwischen träumen auch Consumer von einem vollständig digitalen Universum, das sich bequem von zu Hause aus erkunden lässt.

Obwohl dieses Szenario noch etliche Jahre entfernt ist, sind viele wesentliche Bestandteile des Metaverse bereits vorhanden: Unternehmen wie Apple, Epic Games, Intel, Meta, Microsoft, Nvidia und Roblox arbeiten eifrig daran, die virtuelle Realität zum Leben zu erwecken. Dabei steht außer Frage, dass riesige Mengen Software nötig sind, um das Metaverse zu entwerfen, zu hosten und zu nutzen.

Vor diesem Hintergrund sollte man auch darüber nachdenken, wie sich das Metaverse absichern lässt - und zwar nicht nur im allgemeinen Sinne, sondern auch auf der tieferen Ebene der zugrundeliegenden Programmierung. Die Frage, wie Kernkomponenten eines Unternehmens - und damit auch des Metaverse - gesichert werden können, rückt regelmäßig in den Fokus. Zuletzt etwa durch die Log4j-Schwachstelle, die fast die Hälfte aller Unternehmenssysteme weltweit gefährdete oder den Supply-Chain-Angriff auf SolarWinds, bei dem bösartiger Code in ein einfaches, routinemäßiges Software-Update eingeschleust wurde, das dann an Zehntausende von Kunden verteilt wurde.

Shift Left - auf ein Neues

Aus DevOps-Perspektive kommt es bei der Absicherung des Metaverse darauf an, Security als grundlegenden Prozess mit Hilfe von Technologien wie automatisiertem Scanning zu integrieren. Das wird zwar viel und oft gepredigt, aber nicht auf breiter Ebene praktiziert.

Schon vor dem Metaverse haben wir über "Shifting Left" oder DevSecOps gesprochen: die Praxis, Security in der bereits in der frühen Phase der Softwareentwicklung zu verankern, statt sie nachträglich über die Laufzeitumgebung zu stülpen. Aufsehenerregende Angriffe auf die Softwarelieferkette unterstreichen nur die Bedeutung und die Dringlichkeit eines "Linksrucks": Es ist keine Frage, ob der nächste, große Angriff kommt - sondern nur, wann. Eine optimistischere Sichtweise: Das Metaverse könnte dazu beitragen, die DevSecOps-Adoption auf ein neues Level zu hieven und den Einsatz von Automatisierungs-Tools sowie eine bessere Security-Koordination begünstigen.

Angesichts des steigenden Interesses am Metaverse bin ich davon überzeugt, dass die Sicherheit der Lieferkette in den Mittelpunkt rücken muss und Unternehmen sich zusammenschließen werden, um Sicherheitstests und Scans zu demokratisieren, Software-Bill-of-Materials (SBOM)-Anforderungen zu implementieren und zunehmend DevSecOps-Lösungen nutzen, um sicherzustellen, dass das Metaverse reibungslos und sicher läuft.

Metaverse 2.0

Derzeit wirkt das Metaverse - zumindest in der Version des Ex-Facebook-Konzerns Meta - wie ein Mix heutiger Online-Collaboration-Erfahrungen, die manchmal auf drei Dimensionen erweitert oder in die physische Welt projiziert wird. Das Ziel ist jedoch ein virtuelles Universum, das es ermöglicht, immersive Erlebnisse zu teilen und Dinge zu tun, die in der realen Welt nicht möglich sind.

Collaboration-Werkzeuge gibt es zwar schon etliche Jahre, aber die Pandemie hat sie unverzichtbar gemacht, um Kontakte zu knüpfen, zu kommunizieren, zu lehren, zu lernen und Produkte und Dienstleistungen auf den Markt zu bringen. Das Metaverse verspricht, Plattformen für Remote-Zusammenarbeit auf den neuesten Stand zu bringen, damit diese auch in einer Welt eingesetzt werden können, in der komplexere Arbeitsmuster und komplexere Kommunikationssysteme benötigt werden. Softwareentwicklern könnte das völlig neue Formen der Zusammenarbeit ermöglichen - allerdings wird es ihnen auch jede Menge Mehrarbeit bescheren.

Developer sind im Grunde die Transformatoren unserer Zeit und treiben die meisten digitalen Innovationen voran, die wir heute sehen - das Metaverse wird dabei keine Ausnahme bilden. Nur wird es in Bezug auf Code sehr umfangreich sein und möglicherweise wesentlich mehr Softwareupdates erforderlich machen, als es heute bei jeder gängigen Business-Applikation der Fall ist. Mehr Code bedeutet allerdings auch immer mehr DevOps-Komplexität, was wiederum zu einem größeren DevSecOps-Bedarf führt.

Ob die Verlockung des heute angepriesenen Social-Gaming-Metaverse Unternehmen letztendlich tatsächlich dabei helfen wird, effektiver zusammenzuarbeiten und zu kommunizieren, bleibt abzuwarten. Drei Dinge sind jedoch unbestreitbar:

  • Das Metaverse wird kommen,

  • es wird größtenteils aus Software bestehen und

  • es wird umfängliche Tools erfordern, die Entwicklern dabei helfen, Updates schneller, sicherer und kontinuierlich zu veröffentlichen. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Infoworld.