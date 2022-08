Cloud-native Plattform bietet erweiterte Integrationen, Software Bill of Materials und zusätzliche Sprach- und Framework-Unterstützung

Black Hat (Stand #2428) - Veracode, ein weltweit führender Anbieter von Lösungen zum Testen der Anwendungssicherheit, gab heute die Erweiterung seiner Continuous Software Security Platform mit umfangreichen Verbesserungen der integrierten Entwicklerfunktionen bekannt. Zu den neuen Funktionen gehören erweiterte Integrationen zur Unterstützung der Softwarekompositionsanalyse (SCA), eine Anwendungsprogrammierschnittstelle (API) für Software Bill of Materials (SBOM) sowie zusätzliche Sprach- und Framework-Unterstützung für die statische Analyse, wodurch die Fähigkeit der Entwickler zur Sicherung von Software in den Umgebungen, in denen sie arbeiten, weiter verbessert wird.

Fig. 1 Veracode "Beat the Heat" security flaw heat map, State of Software Security Report v12 (Graphic: Business Wire)

Brian Roche, Chief Product Officer bei Veracode, sagte: "Moderne Anwendungen werden meist zusammengestellt und nicht von Grund auf neu geschrieben. Open-Source-Code macht einen beträchtlichen Anteil der geprüften Codebasen aus beispielsweise bestehen 97 Prozent der typischen Java-Anwendungen aus Open-Source-Bibliotheken* was das Sicherheitsrisiko und die Notwendigkeit, Risiken in der Lieferkette zu identifizieren, erhöht. Unsere SBOM-API soll Entwicklern die Inventarisierung ihrer Code-Datenbank, einschließlich der Komponenten von Drittanbietern, erleichtern und es ihnen ermöglichen, schnell zu handeln, wenn neue Schwachstellen auftauchen. Seit der Einführung unserer Continuous Software Security Platform im Mai haben wir zusätzliche Funktionen geschaffen, die die Entwickler genau dort abholen, wo sie arbeiten: in der integrierten Entwicklungsumgebung (IDE), im Code-Repository und in der Befehlszeilenschnittstelle. Diese Innovationen sollen die Akzeptanz fördern, indem sie die Plattform noch entwicklerfreundlicher machen."

Erleichterte DevSecOps

Die Plattform von Veracode unterstützt mehr als 100 Sprachen und Frameworks, darunter auch solche für die Entwicklung von Cloud-nativen Anwendungen und ältere Sprachen wie COBOL, die mit älteren Systemen verwendet werden. Große Unternehmen haben Anwendungen in unzähligen Sprachen, und die Möglichkeit, eine Lösung für kontinuierliche Sicherheitstests für alle Sprachen einzusetzen, vereinfacht den Prozess und liefert gleichzeitig konsistente Ergebnisse. In der jüngsten Studie State of Software Security (SoSS) 12 des Unternehmens wurden die häufigsten Schwachstellen nach Sprachen analysiert, wobei sich herausstellte, dass eine Schwachstelle, die in einer Sprache am häufigsten auftritt, in einer anderen Sprache nicht unbedingt von Bedeutung ist. So ist beispielsweise Cross-Site Scripting (XSS) mit 77 Prozent die häufigste Schwachstelle in PHP, während sie in C++* nicht einmal in den Top 10 zu finden ist. Darüber hinaus ändern sich die Schwachstellen ständig, d. h. selbst wenn eine Schwachstelle in einer Programmiersprache nicht weit verbreitet ist, sollten Anwender aktive Schritte unternehmen, um zu verhindern, dass sie sich auf ihren Code auswirkt. Da die Abhilfemaßnahmen je nach Schwachstelle und Programmiersprache variieren, erleichtert eine breite Palette an Sprachunterstützung an einem Ort die Arbeit der Entwickler, da sie mehr Zeit für die Einhaltung der engen Bereitstellungsfristen haben.

Häufiges Scannen von eigenen und fremden Codes mindert das Risiko, das von proprietären und Open-Source-Schwachstellen wie Log4j ausgeht. Die neuen, auf Entwickler ausgerichteten Tools und Services von Veracode sollen diesen Prozess beschleunigen und vereinfachen, insbesondere durch die zusätzliche Möglichkeit, proprietäre Bibliotheken von Drittanbietern zu scannen.

Peter Evans, Engineering Director bei QAD Precision GTTE, sagte: "Veracode hat uns eine komplette Plattform zur Verfügung gestellt, mit der wir Sicherheitstools in unsere Entwicklungspipelines einbauen können, und hat uns geholfen, unser Wissen zu erweitern, um im Bereich Sicherheit immer besser zu werden. Veracode passte auch deshalb gut zu uns, weil die Plattform Java-Code im Spring-Framework scannen kann, in dem wir unsere Software entwickeln. Wir sind von der Überprüfung des Codes dazu übergegangen, kontinuierliche Scans in unsere täglichen Pipelines zu integrieren. Sicherheitsbedrohungen stehen nicht still, und Veracode bietet uns die Werkzeuge, um mit den neuesten Schwachstellen und Regeln Schritt zu halten."

Zu den wichtigsten Updates der Continuous Software Security Plattform von Veracode gehören:

SBOM für SCA

Angesichts der staatlichen Vorschriften, die Standards für die Sicherung von Software-Lieferketten festlegen, wird eine SBOM für Unternehmen immer wichtiger. Die SBOM-API von Veracode in SCA ermöglicht es Entwicklern, auf einfache Weise eine SBOM im CycloneDX-JSON-Format zu generieren eines der genehmigten Formate für die Einhaltung der U.S. Executive Order. Dadurch wird sichergestellt, dass der Code, den sie verwenden oder erstellen, frei von Sicherheitslücken ist.

IDE und Integrationen für SCA

Um Software-Sicherheit zu einem nahtlosen Erlebnis zu machen, stellt Veracode laufend Integrationen vor, die Entwickler dort erreichen, wo sie arbeiten.

Die Veracode Azure DevOps Extension hat einen neuen "SCA Flaw Importer", um SCA-Fehler automatisch in Azure DevOps Boards und Work Items zu importieren

Die in Kürze erscheinende Veracode for Visual Studio Code-Erweiterung liefert detaillierte Informationen zu Schwachstellen, Lizenzrisiken und empfohlenen Versionen von Open-Source-Bibliotheken sowie transitiven Abhängigkeiten, sodass Entwickler schnell auf mögliche Risiken reagieren können

Erweiterte Unterstützung von Frameworks und Sprachen für die statische Analyse

Das Unternehmen ist bestrebt, mit den neuesten Sprachen und Frameworks, mit denen Entwickler arbeiten, Schritt zu halten, und bietet Unterstützung für Rails 7.0, Ruby 3.x und PHP Symfony

Roche schloss: "Als Pionier im Bereich der Anwendungssicherheit sind wir einzigartig positioniert, um unsere unübertroffene Erfahrung mit den neuesten Innovationen in der Cloud-Entwicklung zu kombinieren. Im Gegensatz zu On-Premise-Anbietern ist unsere SaaS-Lösung sowohl skalierbar als auch elastisch, was bedeutet, dass die Kunden immer darauf vorbereitet sind, unerwartete Anforderungen zu erfüllen. Unsere Plattform stützt sich auf fast zwei Jahrzehnte kumulierter Daten und bietet detaillierte historische Vergleiche mit Branchen-Benchmarks und Mitbewerbern ein Einblick, der für Führungsteams und den Vorstand äußerst relevant ist. Unsere Plattform spart Entwicklern außerdem Zeit, da sie hochpräzise Ergebnisse liefert und es ihnen ermöglicht, Schwachstellen innerhalb von Minuten zu finden und zu beheben, sodass sie ihren Code schnell und mit der Gewissheit ausliefern können, dass er sicher ist."

Entwickler können mehr über die Plattform von Veracode, das nahtlose Entwicklererlebnis und darüber erfahren, wie sie ihren SDLC einfach und ausgereift sichern können, indem sie den Stand #2428 von Veracode auf der Black Hat USA besuchen.

