Veracode, ein weltweit führender Anbieter von Application Security Testing (AST)-Lösungen, hat heute seine Continuous Software Security Platform vorgestellt, die Anwendungssicherheit nahtlos in den Software Development Lifecycle (SDLC) einbindet. Die Plattform rationalisiert Arbeitsabläufe, indem sie Entwicklungs- und Sicherheitsteams zusammenbringt, um in jeder Phase des Entwicklungsprozesses ein umfassendes Verständnis für Risiken, Abhilfemaßnahmen und Fortschritte zu liefern.

Laut der neuesten Studien von Veracode hat sich die durchschnittliche Scan-Häufigkeit in den letzten zehn Jahren um das 20-fache erhöht, wobei die meisten Anwendungen dreimal pro Woche getestet werden, im Gegensatz zu drei Mal pro Jahr vor zehn Jahren. Die Studie zeigt auch, dass allein in den letzten drei Jahren 31 Prozent mehr Unternehmen mehrere Scan-Typen verwenden.

Führende Unternehmen erkennen heute die Notwendigkeit, mehrere Methoden zur Bewertung ihrer Software zu nutzen, und zwar in allen Phasen des Entwicklungslebenszyklus. Gartner sagt voraus, dass "bis 2025 70 der Unternehmen die Anzahl der Anbieter, die den Lebenszyklus von Cloud-nativen Anwendungen sichern, auf maximal drei Anbieter konsolidieren werden".¹ Dies deutet darauf hin, dass Unternehmen bereits jetzt nach einer umfassenden Plattform suchen, die ein flexibles Richtlinienmanagement, eine ganzheitliche Bewertung des Softwarerisikos und eine integrierte Anleitung zur Abhilfe bietet und gleichzeitig die Komplexität der Verwaltung mehrerer Lösungen vereinfacht.

Allgegenwärtig, aber nicht störend für Entwickler

Angesichts des zunehmenden Drucks, Software in rasantem Tempo zu entwickeln und bereitzustellen, müssen Entwicklungsteams Sicherheitsprüfungen nahtlos in die Tools integrieren, mit denen sie arbeiten, damit sie Schwachstellen schnell finden und beheben können. Gleichzeitig müssen Sicherheitsteams immer strengere Compliance-Standards erfüllen, die von ihrer Unternehmensleitung und den zuständigen Aufsichtsbehörden vorgegeben werden. Die Continuous Software Security Platform von Veracode ist allgegenwärtig, aber nicht störend, da sie eine reibungslose Erfahrung für Entwickler bietet, indem sie die Schwachstellenanalyse mit Anleitungen zur Behebung direkt in die integrierte Entwicklungsumgebung einbettet.

Brian Roche, Chief Product Officer bei Veracode, sagte: "Andere Anbieter in unserem Bereich haben unvollständige oder unzusammenhängende Lösungen, denen es an konsistenten Berichten und Analysen mangelt, so dass Kunden über verschiedene Tools hinweg die erforderlichen Daten zusammensuchen müssen. Wir haben unsere Plattform kontinuierlich weiterentwickelt, um eine nahtlose und integrierte Erfahrung für Entwickler zu schaffen und Sicherheitsteams einen ganzheitlichen Überblick über ihre Softwaresicherheitslage vom Entwurf über die Entwicklung bis hin zur Bereitstellung zu bieten. Wir sehen dies als einen enormen Vorteil sowohl für die Entwicklungs- als auch für die Sicherheitsteams, der am Ende zur Bereitstellung von sicherer Software führt."

Veracode Continuous Software Security Platform

Die Veracode Continuous Software Security Platform ermöglicht es Anwendern, Sicherheitsrichtlinien zu definieren und zu verwalten, einen umfassenden Überblick über die Softwaresicherheit in ihrem gesamten Anwendungsportfolio zu gewinnen und umfangreiche Analysen zu nutzen, um fundierte Pläne zu erstellen, Metriken zu kommunizieren, Richtlinien einzuhalten und gesetzliche Anforderungen zu erfüllen. Die Plattform stützt sich auf fast zwei Jahrzehnte an Daten und ermöglicht es Unternehmen, ihre Sicherheitsrisiken zu erkennen, vorherzusagen, zu verwalten und letztendlich zu mindern. Diese intelligenten Funktionen ermöglichen es Unternehmen, sicheren Code in der Geschwindigkeit und dem Umfang zu liefern, wie sie heutzutage erwartet werden.

Die neue Version der Veracode Continuous Software Security Platform bietet mehrere neue Funktionen:

Single-Pane-of-Glass Reporting: Sicherheitsteams können jetzt direkt im Portal auf einheitliche Berichte für die statische Analyse, die dynamische Analyse, die Analyse der Softwarezusammensetzung und manuelle Penetrationstests zugreifen. Administratoren und Entwickler haben jetzt einen konsolidierten Überblick über die Sicherheitsrisiken und können durch die verbesserten Berichte zur Lizenzverwaltung flexible Richtlinien kontrollieren, um Probleme schnell zu beheben.

Sicherheitsteams können jetzt direkt im Portal auf einheitliche Berichte für die statische Analyse, die dynamische Analyse, die Analyse der Softwarezusammensetzung und manuelle Penetrationstests zugreifen. Administratoren und Entwickler haben jetzt einen konsolidierten Überblick über die Sicherheitsrisiken und können durch die verbesserten Berichte zur Lizenzverwaltung flexible Richtlinien kontrollieren, um Probleme schnell zu beheben. Self-Service Peer Benchmarking: Mit umfassenden Daten und anonymisierten Einblicken über alle Plattformnutzer hinweg haben Kunden jetzt direkten Zugriff auf Berichte im Portal, die es ihnen ermöglichen, die Ergebnisse ihres DevSecOps-Programms mit anderen in ihrer Branche zu vergleichen. Durch die Nutzung von über viele Jahre hinweg gesammelter Daten und Erkenntnisse können Kunden sehen, wie ihre Programmkennzahlen im Vergleich zu anderen abschneiden, und Pläne zur Behebung ihrer Risiken aufstellen.

Mit umfassenden Daten und anonymisierten Einblicken über alle Plattformnutzer hinweg haben Kunden jetzt direkten Zugriff auf Berichte im Portal, die es ihnen ermöglichen, die Ergebnisse ihres DevSecOps-Programms mit anderen in ihrer Branche zu vergleichen. Durch die Nutzung von über viele Jahre hinweg gesammelter Daten und Erkenntnisse können Kunden sehen, wie ihre Programmkennzahlen im Vergleich zu anderen abschneiden, und Pläne zur Behebung ihrer Risiken aufstellen. Software Bill of Materials (SBOM): Sicherheitsteams können jetzt SBOMs bei Bedarf mit einer integrierten REST-API (Representational State Transfer) generieren und exportieren. Dadurch werden Daten für eine bestimmte Anwendung im CycloneDX SBOM-Format ausgegeben einem Standard, der für die Verwendung in Anwendungssicherheitskontexten und die Analyse von Lieferkettenkomponenten entwickelt wurde. Darüber hinaus können die Daten aus der API auch außerhalb der Veracode-Plattform verarbeitet und umgewandelt werden.

Sicherheitsteams können jetzt SBOMs bei Bedarf mit einer integrierten REST-API (Representational State Transfer) generieren und exportieren. Dadurch werden Daten für eine bestimmte Anwendung im CycloneDX SBOM-Format ausgegeben einem Standard, der für die Verwendung in Anwendungssicherheitskontexten und die Analyse von Lieferkettenkomponenten entwickelt wurde. Darüber hinaus können die Daten aus der API auch außerhalb der Veracode-Plattform verarbeitet und umgewandelt werden. Intelligent Remediation: Die Continuous Software Security Platform wird die von Jaroona erworbene Technologie nutzen, um Software-Schwachstellen durch maschinelles Lernen zu erkennen und zu beheben. Jaroona, das von Gartner Research 2021 als "Cool Vendor" ausgezeichnet wurde, übertrifft herkömmliche Ansätze um das 7- bis 10-fache in Bezug auf Genauigkeit, Falsch-Negativ- und Falsch-Positiv-Raten und reduziert die Belastung der technischen Ressourcen.

Tabrez Naqvi, Director of Information Security and Risk bei Cox Automotive, kommentiert: "Die Sicherheit unserer Produkte und Dienstleistungen ist uns sehr wichtig, und Veracode hilft uns dabei, das Vertrauen unserer Kunden nicht zu verlieren."

Weitere Informationen über die Veracode Continuous Software Security Platform finden Sie auf https://www.veracode.com/platform.

Über Veracode

Veracode ist ein führender unabhängiger AppSec-Partner für die Erstellung sicherer Software, die Reduzierung des Risikos von Sicherheitsverletzungen und die Steigerung der Produktivität von Sicherheits- und Entwicklungsteams. Dadurch können Unternehmen, die Veracode nutzen, ihr Geschäft und die Welt voranbringen. Mit der Kombination aus Prozessautomatisierung, Integrationen, Geschwindigkeit und Reaktionsschnelligkeit hilft Veracode Unternehmen, genaue und zuverlässige Ergebnisse zu erhalten, um sich auf die Behebung von potenziellen Schwachstellen zu konzentrieren, anstatt diese nur zu finden.

