CI/CD-Pipelines bilden das Rückgrat der Softwarebereitstellung und helfen Teams dabei, Code schnell und zuverlässig zu bereitzustellen. Mit Geschwindigkeit und Effizienz gehen jedoch Sicherheitsrisiken einher. Kompromittierte Pipelines ermöglichen Angreifern, Schadcode einzuschleusen, sensible Daten zu stehlen und sogar auf Produktionssysteme zuzugreifen.
Da Unternehmen ihre digitale Transformation vorantreiben, hat sich die Absicherung von CI/CD-Pipelines zu einem zentralen Bestandteil moderner Softwareentwicklung entwickelt. CI/CD-Sicherheit ist heute wichtiger denn je. Der „State of Code Security Report 2025" von Wiz zeigt beispielsweise, dass 35 % der Unternehmen auf selbst gehostete Runner mit schwächeren Konfigurationen setzen – und sich damit für Lateral-Movement-Angriffe anfällig machen. CI/CD-Sicherheit zu priorisieren ist keine Option mehr, sondern dringend notwendig.
Genau deshalb sind Sie hier: Sie möchten erfahren, wie Sie Ihre eigene CI/CD-Pipeline absichern können und welche Best Practices für CI/CD-Sicherheit relevant sind – ohne die Workflows oder die Innovationskraft Ihrer Teams auszubremsen.
CI/CD Best Practices [Cheat Sheet]
This comprehensive guide provides you with actionable best practices to mitigate CI/CD security risks.
CI/CD-Sicherheit kurz erklärt
CI/CD-Pipelines optimieren nicht nur die Softwarebereitstellung, sondern schaffen auch zahlreiche Sicherheitslücken im gesamten Entwicklungszyklus. Diese Pipelines haben direkten Zugriff auf Quellcode, Produktionsumgebungen und sensible Zugangsdaten – und sind damit zu hochwertigen Angriffszielen geworden.
Eine einzige kompromittierte Komponente kann die Verteilung von Schadcode an alle Ihre Nutzer ermöglichen. Die Folgen: Datenschutzverletzungen, Serviceunterbrechungen oder Compliance-Verstöße. Deshalb ist es wichtig, die größten Sicherheitsrisiken in der CI/CD-Infrastruktur zu verstehen – nur so können Sie die richtigen Schutzmaßnahmen implementieren.
Gefährdete Komponenten
In einer CI/CD-Pipeline sind diese Komponenten anfällig für Angriffe:
Quellcode-Repositories: Hier speichern und verwalten Entwicklungsteams ihren Code.
Build-Server und Worker: Teams kompilieren Code mithilfe dieser Komponenten in ausführbare Artefakte.
Artefakt-Repositories: Hier speichern Teams Build-Artefakte für das Deployment.
Deployment-Umgebungen: Hier werden Anwendungen bereitgestellt und ausgeführt.
CI-Runner (wie GitHub-gehostete Runner): Diese Komponenten sind oft überprivilegiert und unzureichend überwacht.
Orchestrierungstools (wie ArgoCD oder Spinnaker) können Angreifer für Lateral Movement ausnutzen.
Jede dieser Komponenten erfordert spezifische Sicherheitsmaßnahmen, um unbefugten Zugriff und Manipulation zu verhindern.
Herausforderungen bei der CI/CD-Sicherheit
Die Absicherung von CI/CD-Pipelines bringt folgende Herausforderungen mit sich:
Komplexität: Die vielfältigen, miteinander verbundenen Komponenten von CI/CD-Pipelines machen deren Absicherung komplex.
Geschwindigkeit: Das hohe Tempo von CI/CD kann Sicherheitsmaßnahmen manchmal überholen und Raum für Schwachstellen lassen.
Automatisierung: Obwohl Automatisierung eine der Stärken von CI/CD ist, kann sie ohne automatisierte Sicherheitsprüfungen auch zur Schwäche werden.
Zugriffskontrolle: Die Vergabe von Zugriffsrechten auf verschiedene Pipeline-Komponenten kann knifflig sein – besonders bei großen Teams.
Secrets-Wildwuchs: CI/CD-Lösungen enthalten oft viele Secrets. Wenn Zugriffskontrollen nicht aktuell sind, können diese leicht nach außen gelangen.
Supply-Chain-Sicherheit: Der Einsatz von SaaS-CI/CD-Tools wie GitLab und CircleCI kann Supply-Chain-Sicherheitsbedenken mit sich bringen.
Ungeprüfte Drittanbieter-Actions und Plug-ins: Wiederverwendbare CI/CD-Workflows können Trojaner einschleusen.
Catch code risks before you deploy
Learn how Wiz Code scans IaC, containers, and pipelines to stop misconfigurations and vulnerabilities before they hit your cloud.
Best Practices und Empfehlungen für CI/CD-Sicherheit
Die Absicherung von CI/CD-Pipelines erfordert die Integration von Sicherheit in den gesamten Entwicklungszyklus – vom Scannen von Code über das Verwalten von Secrets bis hin zur Absicherung von Infrastruktur und Zugriffen.
Die folgenden Best Practices helfen Teams, ihre Pipelines zu schützen, ohne die Geschwindigkeit zu beeinträchtigen:
Automatisierung von Sicherheitsscans
Automatisierte Sicherheitsscans sind ein Muss für die Echtzeit-Erkennung von Schwachstellen – insbesondere durch den Aufstieg von DevSecOps, das Sicherheit in den Entwicklungsprozess integriert. Diese Scans erleichtern kontinuierliche Sicherheitsprüfungen, erkennen Schwachstellen sofort und benachrichtigen Teams schnell. Das verringert das Risiko, kompromittierten Code zu veröffentlichen.
Integrieren Sie daher Sicherheitstools wie SonarQube oder Checkmarx in Ihre CI/CD-Pipeline, um statische und dynamische Analysen des Anwendungscodes durchzuführen. Diese Tools identifizieren Schwachstellen wie SQL-Injection, Cross-Site-Scripting und unsichere Objektreferenzen.
# Example of SonarQube integration in a Jenkins pipeline
pipeline {
agent any
stages {
stage('SonarQube Analysis') {
steps {
script {
def scannerHome = tool 'SonarQube Scanner';
withSonarQubeEnv('My SonarQube Server') {
sh "${scannerHome}/bin/sonar-scanner"
}
}
}
}
}
}Sobald Sie die passenden Scanning-Tools ausgewählt haben, richten Sie automatische Trigger in Ihrer Pipeline ein. Konfigurieren Sie Ihr CI/CD-System so, dass Sicherheitsscans unmittelbar nach jedem Code-Commit starten – Webhook-Integrationen oder SCM-Polling ermöglichen dies in Echtzeit.
Konfigurieren Sie Ihre Sicherheitstools so, dass sie Schwachstellen-Alerts direkt an Ihr Entwicklungsteam über Kommunikationskanäle wie Slack, Microsoft Teams oder E-Mail senden.
Fokus auf Laufzeitüberwachung
Erweitern Sie Ihren Sicherheitsansatz über statisches Scanning hinaus, indem Sie Laufzeitüberwachung und Incident-Response-Tools einsetzen. Hier einige Beispiele:
SIEM/SOAR-Tools: Verbinden Sie Ihre CI/CD-Pipeline-Logs und Events mit SIEM- (Security Information and Event Management) oder SOAR-Plattformen (Security Orchestration, Automation and Response) wie Splunk oder IBM QRadar. So werden verdächtige Aktivitäten erkannt und automatisierte Reaktionen ausgelöst.
Anomalie-Erkennung: Setzen Sie ML-basierte Systeme zur Anomalie-Erkennung ein, die normales Verhalten für Ihre CI/CD-Abläufe als Referenz definieren. Diese alarmieren Sicherheitsteams bei ungewöhnlichen Mustern – etwa Commits außerhalb der Arbeitszeiten, unübliche Pipeline-Konfigurationen oder atypische Ressourcennutzung.
Incident-Response-Playbooks: Erstellen Sie detaillierte, CI/CD-spezifische Incident-Response-Playbooks. Diese beschreiben exakte Schritte, die Sicherheitsteams bei potenziellen Sicherheitsverletzungen ergreifen sollten. Beziehen Sie Verfahren zur Isolierung kompromittierter Komponenten, zum Rollback verdächtiger Deployments und zur forensischen Analyse ein.
Automatisierte Eindämmungsmaßnahmen: Konfigurieren Sie Ihre Pipeline so, dass verdächtige Builds automatisch unter Quarantäne gestellt und zusätzliche Sicherheitsprüfungen ausgelöst werden, wenn das System anomales Verhalten erkennt. So verhindern Sie, dass potenziell kompromittierter Code in die Produktion gelangt.
Integrieren Sie Dynamic Application Security Testing (DAST) (DAST) in Ihre Pipeline. So scannen Sie laufende Anwendungen automatisch auf Runtime-Schwachstellen, die statische Analysen möglicherweise übersehen – bevor der Code in die Produktion gelangt.
Effektives Secrets-Management
Organisationen, die CI/CD-Pipelines nutzen, müssen ein effektives Secrets-Management für API-Schlüssel, Zugangsdaten und Konfigurations-Secrets implementieren. Nur so schützen Sie die sensiblen Daten Ihrer Organisation vor unbefugtem Zugriff.
Gute Secrets-Management-Lösungen verhindern auch, dass geleakte Credentials zu Sicherheitsverletzungen führen. Tools wie HashiCorp Vault oder AWS Secrets Manager bieten Funktionen wie dynamische Secrets, Secret-Revokation und detaillierte Audit-Logs. Das verbessert die Sicherheitslage Ihrer Organisation durch den Schutz sensibler Daten. Zusätzlich setzen Pre-Commit-Hooks und Secret-Scanning-Tools Coding-Standards durch und verhindern das Hardcoding von Secrets in Ihrer Codebasis.
Rotieren Sie Secrets und Schlüssel regelmäßig mithilfe automatisierter Rotationsrichtlinien über APIs von Secrets-Management-Tools. Das verkleinert das Zeitfenster für böswillige Akteure erheblich.
Implementierung unveränderlicher Infrastruktur
Strukturieren Sie Ihre Code-Repositories mit klaren Sicherheitsgrenzen und implementieren Sie rigorose Validierungs-Pipelines, die auf Schwachstellen scannen. Sichern Sie auch Ihre State-Dateien und sensiblen Variablen. Regelmäßige Drift-Erkennung hilft Ihnen, unautorisierte Änderungen zu identifizieren. GitOps-Praktiken stellen sicher, dass alle Infrastrukturänderungen ordnungsgemäße Sicherheitsüberprüfungen durchlaufen und vollständige Audit-Trails erhalten bleiben. Zusammen machen diese Praktiken Infrastrukturmanagement sicherer, wiederholbarer und weniger fehleranfällig.
Um dies zu erreichen, können Sie Containerisierungstools wie Docker und Orchestrierungsplattformen wie Kubernetes einsetzen. So gelingen einheitliche, unveränderliche Bereitstellungen über verschiedene Umgebungen hinweg. Infrastructure-as-Code-Tools (IaC) wie Terraform oder AWS CloudFormation gewährleisten ebenfalls konsistente, sichere Infrastruktur-Deployments.
Entwerfen Sie Rollback-Strategien, die komplette Umgebungen aus IaC-Definitionen neu erstellen. So versetzen Sie Systeme bei auftretenden Problemen in einen bekannten, sicheren Zustand zurück.
Etablierung von RBAC
Ein umfassender Ansatz für rollenbasierte Zugriffskontrolle (RBAC) beginnt mit der klaren Definition organisatorischer Rollen und der sorgfältigen Eingrenzung von Berechtigungen nach dem Prinzip der geringsten Berechtigung. Organisationen mit effektivem RBAC erstellen typischerweise gestaffelte Berechtigungsstrukturen in Plattformen wie Jenkins und sichern Automatisierungs-Service-Accounts durch regelmäßige Rotation von Zugangsdaten und IP-Beschränkungen. Viele erfolgreiche Sicherheitsimplementierungen umfassen auch die Trennung von Genehmigungs- und Deployment-Befugnissen – so kann keine einzelne Person den gesamten Code-Release-Prozess kontrollieren.
Mehrere Sicherheitsebenen integrieren oft das Vier-Augen-Prinzip für kritische Operationen. Dabei sind unabhängige Genehmigungen für sensible Aktionen erforderlich. Gut abgesicherte CI/CD-Umgebungen verfügen auch über Automatisierungs-Accounts mit strikten Berechtigungsgrenzen und zentralisierten Audit-Logging-Systemen, die ungewöhnliche Aktivitäten überwachen. Diese geschichtete Sicherheitsarchitektur adressiert potenzielle Insider-Bedrohungen und erhält gleichzeitig die Workflow-Effizienz des Entwicklungsteams.
Nutzen Sie geplante Zugriffsüberprüfungen, um angemessene Berechtigungszuweisungen zu bestätigen. Kombinieren Sie diese mit automatisierter Erkennung inaktiver Konten, Manager-Zertifizierungen für Zugriffsanforderungen und optimierten Workflows für schnelle Zugriffsanpassungen bei Rollenwechseln. Diese gestaffelten Verteidigungsmaßnahmen schützen die CI/CD-Infrastruktur und erhalten gleichzeitig Entwicklungsgeschwindigkeit und operative Effektivität.
Schulung und Training der Teams
Anstatt Sicherheit als separate Funktion zu behandeln, machen Sie Entwicklungsteams zu einem integralen Bestandteil Ihres Sicherheitsteams. Die Zusammenarbeit funktioniert am besten, wenn Sie Ihre Teams früh in den Sicherheitsprozess eingebinden – anstatt Sicherheit lediglich als letzten Schritt zu behandeln.
Um dies zu erreichen, investieren Sie in Sicherheitstrainings, die Entwicklungs- und Operations-Teams befähigen, Risiken während des Bauens zu identifizieren. Die Einrichtung von Security Champions in Entwicklungsteams hilft Ihnen auch dabei, eine Kultur zu etablieren, in der Sicherheit in der Verantwortung aller liegt – nicht nur in der des Sicherheitsteams.
Zusätzlich zu automatisierten Scans führen Sie regelmäßige Sicherheitsbewertungen und Penetrationstests mit Anwesenheit Ihrer Entwicklungsteams durch. Dieser kollaborative Ansatz identifiziert potenzielle Schwachstellen in Ihren Pipelines und dient als praktische Lernmöglichkeit. Das stärkt letztlich das Sicherheitsbewusstsein im gesamten Team.
Erstellen Sie klare Sicherheitsrichtlinien und Dokumentationen, die Teams leicht referenzieren können – beim Bauen und Warten von CI/CD-Pipelines oder beim Implementieren von Inline-Feedback in Pull Requests.
Die verschiedenen Typen von CI/CD-Pipelines
Jede CI/CD-Pipeline bringt ihre eigenen Sicherheitsherausforderungen mit sich, da sie parallel zu den Entwicklungsworkflows wächst. Wenn Ihre Sicherheitsteams jedoch verstehen, wie verschiedene Pipeline-Setups funktionieren, können sie ihre Verteidigungsmaßnahmen besser anpassen und Best Practices effektiver anwenden.
Hier sind fünf verschiedene Typen, die Sie kennen sollten:
1. Traditionelle CI/CD-Pipelines
Diese Pipelines nutzen eine Abfolge automatisierter Schritte zum Bauen, Testen und Bereitstellen von Anwendungen. Sie finden sich oft in Tools wie Jenkins oder Atlassian Bamboo.
Zu den wichtigsten Maßnahmen für mehr Sicherheit gehören:
Zugriff auf Pipeline-Trigger und Secrets kontrollieren
Build-Umgebungen vor Manipulation und unbefugten Änderungen schützen
Die Integrität von Artefakten während des gesamten Prozesses sicherstellen (z. B. durch Prüfsummen oder digitale Signaturen)
2. GitOps-Pipelines
GitOps-Pipelines nutzen Git-Repositories als primäre Quelle für die Verwaltung von Anwendungs- und Infrastruktur-Setups – üblicherweise auf deklarative Weise mit Tools wie ArgoCD oder Flux. Diese bieten einige großartige Sicherheitsvorteile wie versionskontrollierte Änderungen und klare Audit-Trails.
Risiken entstehen jedoch, wenn:
Teams Secrets oder Credentials direkt in Git speichern (etwa in Klartext-YAML-Dateien).
Zugriffskontrollen auf Repositorys und GitOps-Agents zu freizügig sind.
Tools wie Sealed Secrets, HashiCorp Vault oder SOPS helfen dabei, sensible Daten sicher zu verwalten.
3. Container-basierte Pipelines
Diese Pipelines nutzen Containerisierungstools wie Docker und Kubernetes, um Builds und Deployments über verschiedene Umgebungen hinweg konsistent zu halten.
Zu den wichtigsten Sicherheitsmaßnahmen gehören:
Container-Images regelmäßig auf Schwachstellen prüfen
Container-Registries absichern und das Prinzip der geringsten Berechtigung durchsetzen
Laufzeitbedrohungen in bereitgestellten Containern überwachen
4. Serverless-Pipelines
Serverless-CI/CD-Pipelines setzen auf vollständig verwaltete Dienste wie GitHub Actions, AWS CodeBuild oder Google Cloud Build. Sie wickeln Workflows ohne den Aufwand der Infrastrukturverwaltung ab. Sie sind skalierbar und reduzieren den operativen Aufwand.
Sie bringen jedoch auch diese Sicherheitsüberlegungen mit sich:
IAM-Richtlinien über Berechtigungen definieren
Das Shared-Responsibility-Modell verstehen und korrekt anwenden
Privilegieneskalation innerhalb von Workflows und zwischen Konten verhindern
Ausführungsumgebungen existieren allerdings nicht dauerhaft. Deshalb ist es wichtig, starkes Logging und Monitoring zu implementieren, um vollständige Transparenz zu gewährleisten.
5. Hybride Pipelines
Viele Organisationen kombinieren verschiedene Ansätze – etwa GitOps für Infrastruktur, Container für Anwendungen und Serverless-Tools für Orchestrierung. Das Ergebnis ist ein komplexes Sicherheitsökosystem, das sich über Clouds, Plattformen und Pipelines erstreckt.
Deshalb müssen Sicherheitsteams mit hybriden Pipelines Folgendes beachten:
Transparenz über Toolchains hinweg aufrechterhalten.
Konsistente Richtlinien für Secrets-Management, Zugriff und Compliance anwenden.
Standardisieren, wie Risiken identifiziert und behoben werden – umgebungsübergreifend.
Sicherheitsrichtlinien müssen Code, Container, Infrastruktur und Cloud gleichermaßen berücksichtigen, um wirksam zu sein.
Secure Coding Best Practices [Cheat Sheet]
The Secure Coding Cheat Sheet is designed to be your comprehensive, go-to resource for embedding security into every stage of your code development.
Die Phasen von CI/CD-Pipelines
CI/CD-Pipelines bestehen aus vier eng miteinander verbundenen Phasen, die jeweils eigene Sicherheitsanforderungen haben:
Source-Phase:
Entwicklungsteams schreiben Code in verschiedenen Programmierumgebungen.
Die Sicherheit konzentriert sich auf Repository-Zugriffskontrollen.
Statische Code-Analyse identifiziert grundlegende Schwachstellen frühzeitig.
Branch-Protection-Regeln verhindern unautorisierte Änderungen.
Build-Phase:
Quellcode wird mit Dependencies und Bibliotheken kombiniert.
Teams erstellen ausführbare Dateien und Artefakte.
Teams verifizieren Dependencies und validieren Skripte.
Drittanbieter-Komponenten erfordern besondere Prüfung, um Supply-Chain-Angriffe zu verhindern.
Test-Phase:
Builds durchlaufen gründliche dynamische Tests.
Spezialisierte Sicherheitsprüfungen erkennen Schwachstellen, die statische Analysen möglicherweise übersehen.
Interactive Application Security Testing (IAST) simuliert reale Angriffe.
Testumgebungen spiegeln Produktionskonfigurationen.
Deployment-Phase:
Teams bereiten validierte Builds für die Bereitstellung vor.
Strenge Umgebungssicherheitskontrollen schützen Produktionsumgebungen.
Zugriffsrechte für Deployments sind klar begrenzt.
Konfigurationen werden vor der Bereitstellung überprüft
Post-Deployment-Monitoring identifiziert potenzielle Sicherheitsprobleme.
Die Kernaussage: Wenn Sie Sicherheit in jede Phase integrieren, reduzieren Sie Risiken, ohne die Entwicklungsgeschwindigkeit zu beeinträchtigen.
State of Code Security [2025]
From exposed secrets and public repositories to risky CI/CD practices, our research reveals that the convenience of modern development often makes security more challenging.
Get report now
CI/CD-Sicherheit: Ihre Verantwortlichkeiten
Das Shared-Responsibility-Modell beschreibt, wer in verschiedenen Bereichen für die Sicherheit verantwortlich ist – entweder der Cloud-Anbieter oder Ihre Organisation.
Während Anbieter die physische Infrastruktur, Verfügbarkeit und grundlegende Sicherheitsupdates gewährleisten, liegt die Verantwortung für die Sicherheit Ihrer Anwendungen bei Ihnen. Dazu gehören sichere Konfigurationen, Zugriffskontrollen, Codequalität und der Schutz sensibler Daten.
Konkrete Verantwortlichkeiten:
Verantwortlichkeiten in der Source-Phase:
Sichere Coding-Praktiken in allen Entwicklungsteams durchsetzen.
Robuste Repository-Schutzmaßnahmen einschließlich Branch-Richtlinien implementieren.
Obligatorische Code-Review-Prozesse mit Sicherheits-Checkpoints etablieren.
Sichere Zugriffskontrollen für Quellcode-Repositories aufrechterhalten.
Verantwortlichkeiten in der Build-Phase:
Build-Umgebungen vor unbefugtem Zugriff schützen.
Dependencies und Drittanbieter-Komponenten auf Schwachstellen scannen.
Build-Artefakte vor Manipulation oder unbefugter Änderung schützen.
Build-Skripte und Automatisierungstools validieren auf Sicherheitsprobleme.
Verantwortlichkeiten in der Test-Phase:
Umfassende Sicherheitstest-Tools in Test-Workflows integrieren.
Angemessene Abdeckung potenzieller Schwachstellenklassen sicherstellen.
Identifizierte Sicherheitsprobleme beheben, bevor Code weitergeleitet wird.
Sicherheitstest-Ergebnisse für Compliance- und Audit-Zwecke dokumentieren.
Verantwortlichkeiten in der Deploy-Phase:
Sicherheitskonfigurationen vor dem Produktions-Deployment validieren.
Sichere Deployment-Praktiken einschließlich Approval Gates implementieren.
Umgebungszugriff mit detaillierten Berechtigungsgrenzen kontrollieren.
Bereitgestellte Anwendungen auf Sicherheitsanomalien überwachen.
Während des laufenden Betriebs sollten Sie auch tiefgreifendes Logging aufrechterhalten, auf Sicherheitsanomalien überwachen und klare Incident-Response-Verfahren etablieren, um auf aufkommende Bedrohungen zu reagieren.
Komponenten der CI/CD-Sicherheit
Eine umfassende CI/CD-Sicherheitsstrategie umfasst die folgenden Komponenten:
Static Application Security Testing (SAST) analysiert Quellcode auf Schwachstellen wie SQL-Injection oder unsichere Coding-Muster bereits vor der Kompilierung.
Software Composition Analysis (SCA) prüft Abhängigkeiten auf bekannte Schwachstellen und Lizenzprobleme. SCA-Tools bieten auch Einblick in die Drittanbieter-Bibliotheken und Softwareprojekt-Komponenten.
Dynamic Application Security Testing (DAST) erkennt Schwachstellen in laufenden Anwendungen. Es identifiziert auch Probleme wie Authentifizierungsprobleme, Session-Management-Fehler und Server-Konfigurationsfehler.
IaC-Scanning überprüft Infrastrukturdefinitionen auf Fehlkonfigurationen und Sicherheitsprobleme. Durch das Scannen von Terraform-, CloudFormation- und anderen IaC-Dateien verhindern Unternehmen so unsichere Deployments vor der Implementierung.
Container-Security-Scanning untersucht Container-Images auf Schwachstellen, Malware und Fehlkonfigurationen. Das verhindert, dass kompromittierte Container in Produktionsumgebungen bereitgestellt werden.
Secrets-Management umfasst das sichere Speichern, Abrufen und Rotieren sensibler Zugangsdaten in der gesamten Pipeline. Gutes Secrets-Management schützt Ihre API-Schlüssel, Passwörter und andere sensible Informationen vor Offenlegung.
Bewertung der Stärke Ihrer CI/CD-Sicherheit
Um Ihre CI/CD-Sicherheitslage effektiv zu messen und zu verbessern, konzentrieren Sie sich auf diese Kennzahlen:
Schwachstellen-Erkennungsrate: Misst, wie effektiv Sicherheitstools Probleme erkennen. Implementieren Sie regelmäßige Penetrationstests, um eine Baseline zu etablieren. Vergleichen Sie entdeckte Schwachstellen mit automatisch Erkannten und anschließend die Erkennungsraten verschiedener Tools, um blinde Flecken in Ihrem Security-Scanning-Ansatz zu identifizieren.
Mittlere Behebungszeit (MTTR): Zeigt, wie schnell Schwachstellen behoben werden. Implementieren Sie MTTR-Tracking, indem Sie sicherheitsbezogene Issues in Ihrem Ticket-Management-System taggen und automatisiertes Timestamp-Tracking in jeder Phase konfigurieren.
Compliance-Quote: Misst die Einhaltung von Sicherheitsrichtlinien. Implementieren Sie sie, indem Sie klare Sicherheitsrichtlinien in maschinenlesbaren Formaten definieren und Compliance-Prüfungen in Ihre CI/CD-Systeme integrieren. Dashboards, die Compliance-Trends über die Zeit visualisieren, zeigen Richtlinienverstöße an, die sofortige Aufmerksamkeit erfordern.
Testabdeckung: Bewertet die Tiefe der Sicherheitsprüfungen. Um Coverage-Tracking zu implementieren, konfigurieren Sie Ihre Test-Tools so, dass sie Coverage-Reports generieren und aggregieren Sie diese Metriken über verschiedene Testtypen hinweg. Gleichen Sie die Coverage auch mit dem Threat-Modell Ihrer Anwendung ab, um Hochrisikobereiche zu identifizieren, die zusätzliches Testing erfordern.
Fehlerrate von Builds aufgrund von Sicherheitsproblemen: Hält fest, wie oft Sicherheitsprüfungen das Abschließen von Builds verhindern. Es beinhaltet die Kategorisierung von Build-Fehlern in Ihrem CI/CD-System und das separate Tracking sicherheitsbezogener Fehler von funktionalen Problemen. Überwachen Sie diese Rate zusammen mit der Deployment-Geschwindigkeit, um sicherzustellen, dass Sicherheitsverbesserungen die Auslieferung nicht verlangsamen.
Der Ansatz von Wiz für CI/CD-Sicherheit
Die Messung und Verbesserung Ihrer CI/CD-Sicherheitslage kann sich manchmal anfühlen wie ein Schuss ins Dunkle.
Die neueste Forschung von Latio zeigt, wie es geht. Im 2026 Application Security Report hat James Berthoty Wiz vier verschiedene Auszeichnungen verliehen – eine Validierung des Lifecycle-Ansatzes, der alles vom ersten Commit bis zur Live-Umgebung schützt.
Watch 5-min demo: How Wiz secures CI/CD pipelines
See how Wiz connects to your code repos, data platforms, identity providers, CI/CD pipelines, and Kubernetes clusters to surface real risk with full context.
Watch demo now
Wiz Code verbindet Risiken aus Code, Infrastruktur und Cloud-Umgebungen mit Kontext aus der Laufzeitumgebung. So können Teams priorisieren, welche Schwachstellen tatsächlich ausnutzbar sind – und nicht nur theoretisch vorhanden.
Mit Wiz Code können Sie Ihre Sicherheitslage stärken und gleichzeitig die Entwicklungsgeschwindigkeit beibehalten.
So geht's:
Einheitliche Sicherheitsintegration ohne Unterbrechung bestehender Workflows:
Diese integriert nativ mit beliebten CI/CD-Plattformen wie Jenkins, GitLab und CircleCI.Frühe Erkennung von Schwachstellen im Entwicklungsprozess: Wiz ermöglicht es Teams, Sicherheitsprobleme vor dem Produktions-Deployment zu erkennen. Sie bekommen sofortiges Feedback zu Sicherheitsrisiken in Code, Infrastrukturdefinitionen und Abhängigkeiten während der Entwicklungsphasen.
Umfassender Schutz: Sicherheitsteams, die vollständige Transparenz über ihre Pipeline benötigen, können die integrierten Sicherheitsfunktionen von Wiz nutzen – vom Anwendungscode bis zur Cloud-Infrastruktur. So entsteht ein konsistenter Sicherheitsansatz über den gesamten Anwendungslebenszyklus.
Zusätzlich bietet der Security Graph von Wiz eine visuelle Darstellung von Risiken und deren Zusammenhängen, wodurch Teams Prioritäten effizient setzen können.
Indem Wiz diese kritischen Sicherheitsbedürfnisse adressiert und gleichzeitig die Entwicklungsgeschwindigkeit aufrechterhält, hilft es Organisationen, sichere CI/CD-Pipelines aufzubauen, die ihre Geschäftsziele unterstützen – anstatt den Fortschritt zu behindern.
Möchten Sie Ihre CI/CD-Sicherheit gezielt verbessern? Laden Sie das CI/CD Security Best Practices Cheat Sheet von Wiz herunter und erfahren Sie, wie Sie jede Phase Ihrer Pipeline absichern können.
Secure your workloads, from build-time to run-time
See why Wiz is one of the few cloud security platforms that security and devops teams both love to use.
Weitere Security Best Practices, die Sie interessieren könnten: