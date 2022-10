Early Access Program (EAP) für neues Produkt bietet DevOps-freundliche Lösung zur Integration von Containersicherheit in den Lebenszyklus der Softwareentwicklung

Veracode, der weltweit führende Anbieter von Application Security Testing (AST)-Lösungen, hat heute die Erweiterung seiner Continuous Software Security Platform um Containersicherheit angekündigt. Das Early Access Program für Veracode-Containersicherheit ist jetzt für bestehende Kunden angelaufen. Dieses neue Angebot von Veracode, das auf die Bedürfnisse von Cloud-nativen Software-Entwicklungsteams zugeschnitten ist, erfüllt die Anforderungen an Schwachstellen-Scans, sichere Konfiguration und Secrets-Management für Container-Images.

Brian Roche, Chief Product Officer von Veracode, sagte: "Da Entwickler Cloud-native Computing-Praktiken einsetzen, gewinnen Container für die geschäftliche Effizienz immer mehr an Bedeutung. Mit dieser Markteinführung schließen wir eine erhebliche Lücke auf dem Markt für entwicklerfreundliche Lösungen, die wichtige Funktionen für die Containersicherheit abdecken. Wir freuen uns, diese nächste Erweiterung unserer Plattform auf den Markt zu bringen, mit der die Kunden Sicherheitstests für modernere Architekturen und Bereitstellungsarten durchführen können."

Bedarf an Containersicherheit steigt rapide an

Container werden zunehmend eingesetzt, um die Softwareentwicklung und die Konfigurationsverwaltung der Laufzeitumgebung zu vereinfachen. Sie bestehen aus kleinen, schnellen, portablen Softwareeinheiten, in denen der Code so verpackt ist, dass eine Anwendung schnell und zuverlässig in verschiedenen Computerumgebungen ausgeführt werden kann vom Desktop bis zur Cloud. Sie bieten ein Ökosystem von Repositorys, Orchestrierungstechnologien und Funktionen, die verwandte Themen wie Service-to-Service-Kommunikation und Konfigurationsmanagement behandeln. Container, die in Pipelines aus Code instanziiert werden, haben den Vorteil der Unveränderlichkeit, d.h. sie werden in der Produktion nicht aktualisiert, neu konfiguriert oder gepatcht. Stattdessen wird das zugrundeliegende Image mit neuen Funktionen aktualisiert und erneut bereitgestellt, was die Effizienz in der Produktionsumgebung verbessert.

Trotz der Vorteile von Containern sind sie von vielen der gleichen Probleme betroffen, die traditionell physische Produktions- oder virtuelle Server-Hardware plagen, wie z.B. Schwachstellen, die durch zusätzliche Software eingeführt werden, schlecht verwaltete Secrets (Geheimnisse) (wie Amazon Web Services-Schlüssel und -Anmeldeinformationen in Dockerdateien) und Sicherheitsfehlkonfigurationen. Dies hat zu einer erhöhten Nachfrage nach Produkten geführt, die diese und ähnliche Probleme angehen. Es wird erwartet, dass der globale Markt für Containersicherheit bis 2027* 3,9 Milliarden US-Dollar erreichen wird. Beim Container Security Scanning werden Container-Images anhand von organisations- oder branchenspezifischen Standards analysiert, um unsichere Prozesse, Fehlkonfigurationen, die zu einer Schwachstelle führen könnten, sowie unzureichende Authentifizierung und Zugriffskontrolle zu identifizieren.

Veracode Containersicherheit integriert sich in die Entwicklerumgebung

Viele Produkte, die bereits auf dem Markt sind, zielen auf die Sicherung von Containern zur Laufzeit ab und bieten nur begrenzte Unterstützung für Entwickler, was eine große Herausforderung für die frühzeitige Behebung darstellt. Die Lösung von Veracode lässt sich stattdessen in die CI/CD-Pipeline (Continuous Integration und Continuous Delivery) integrieren und ist über die Befehlszeilenschnittstelle verfügbar. Sie deckt die Erkennung und Behebung von Schwachstellen, die Verwaltung von Secrets und Sicherheitskonfigurationsprobleme auf den gängigsten Betriebssystemen ab und gibt Entwicklern schon früh im Lebenszyklus der Softwareentwicklung Ratschläge zur Behebung, damit unsichere Container nicht in die Produktion gelangen.

Die Ergebnisse von Veracode Containersicherheit sind je nach Wahl des Benutzers in einer Vielzahl von Formaten verfügbar, darunter Text, JSON (JavaScript Object Notation) und Software Bill of Materials (SBOM) (CycloneDX, SWID [Software Identification Tagging] oder SPDX [Software Packaging Data Exchange]), so dass sie sich leicht in andere Tools integrieren lassen. Indem wir Entwicklern und ihren Teams die Tools zur Verfügung stellen, die ihren spezifischen Anforderungen entsprechen, können sie Schwachstellen schon früh im Lebenszyklus finden und beheben, so dass sie darauf vertrauen können, dass ihre containerisierte Anwendungsumgebung sicher ist.

"Veracode Containersicherheit wird für unsere Entwickler von entscheidender Bedeutung sein, um sicherzustellen, dass die Workloads, die sie in unserer Cloud bereitstellen, sicher sind", so der Direktor für Informationssicherheit eines Automobilherstellers. "Ohne dieses Tool hätte unser Team Wochen gebraucht, um Container-Ergebnisse zu erhalten und zu verarbeiten, und diese wären nur in begrenzten Formaten verfügbar gewesen. Jetzt freuen wir uns, dass wir die Ergebnisse in die Pipeline integrieren können, noch bevor sie in die Produktion gehen, was unserem Unternehmen Zeit- und Kostenvorteile verschafft."

*Research and Markets, "Globale Marktgröße für Containersicherheit, Anteils- und Industrietrendanalysebericht nach Komponenten (Produkte und Services), nach Servicetyp, nach Organisationsgröße, nach Vertikale, nach regionalem Ausblick und Prognose, 2021-2027" Bericht, Februar 2022

