AWS Re:Invent (Stand 563) Veracode, ein weltweit führendes Unternehmen beim Anwendungs-Risikomanagement, stellte heute bedeutende Innovationen vor, die Entwickler dabei unterstützen, Secure-by-Design-Software zu entwickeln, und Sicherheitsteams helfen, die Risiken in ihrem gesamten Code-to-Cloud-Ökosystem zu minimieren. Dank der neuesten Verbesserungen in Veracode Fix und Veracode Risk Manager bisher bekannt als Longbow Security können Entwickler Softwarelösungen erstellen, Risiken bewerten und Fehlerbehebungen mit nur einem Klick in ihrer bevorzugten Umgebung vornehmen.

Tim Jarrett, Group Vice President of Product Management bei Veracode, erklärt: "Vor sechs Monaten haben wir die Secure By Design-Verpflichtung der CISA (Cybersecurity and Infrastructure Security Agency) unterzeichnet, mit der die Integration von Cybersicherheit in das Design und die Fertigung von Technologieprodukten gefördert werden soll. Um diesem Anspruch gerecht zu werden, investiert Veracode weiterhin in neue Funktionen, die das Shift-Left-Sicherheitskonzept unterstützen und ein automatisiertes, nahtloses Erlebnis für Entwickler ermöglichen."

KI-gestützte Fehlerbehebung in der IDE für Entwickler

Die rasante Entwicklung der KI hat dazu geführt, dass Code heute schneller als je zuvor erstellt wird. Dies stellt Unternehmen jedoch vor die Herausforderung, dass KI-generierter Code etwa den gleichen Prozentsatz an Fehlern enthält wie von Menschen geschriebener Code. Aufgrund von jahrelang angesammelten Sicherheitslücken in ihren Codes versinken 71 der Unternehmen in "Sicherheitsschulden". Deshalb benötigen Entwickler effektive Tools, um die Fehlerbehebung zu beschleunigen.

Die jüngsten Innovationen bei Veracode Fix, das KI und menschliches Know-how vereint, um die Fehlerbehebungszeit von Monaten auf Minuten zu verkürzen, sorgen dafür, dass Entwickler nun Zugriff auf sofort einsetzbare Code-Fixes für bis zu 80 der First-Party-Schwachstellen haben. Für ein Unternehmen mit 2.000 Sicherheitslücken bedeutet dies eine Verringerung des Zeitaufwands für die Beseitigung der Sicherheitsmängel um 2.400 Stunden sowie Kosteneinsparungen in Höhe von 240.000 US-Dollar im Vergleich zur manuellen Behebung.

"Wir haben uns das Feedback der Entwickler genau angesehen, die das Tool sehr schätzen und in ihre Arbeitsabläufe integrieren wollten. Da viele unserer Kunden täglich Entwicklungsumgebungen wie GitHub nutzen, haben wir Veracode Fix direkt in ihre Push/Pull-Request-Aktivitäten integriert. Unsere flexible GitHub-Aktion lässt sich so konfigurieren, dass alle Dateien in einem Projekt korrigiert, alle unterstützten Fehlertypen behoben und individuelle Kommentare zu jedem Korrekturvorschlag ergänzt werden können", so Jarrett.

Veracode Fix ist in allen integrierten Entwicklungsumgebungen (IDE) verfügbar. Entwickler können Schwachstellen in ihren CI/CD-Pipelines auf Knopfdruck beheben und gewährleisten, dass sie Software entwickeln, die von Anfang an auf Sicherheit ausgelegt ist.

Schon jetzt hilft das Tool unseren Kunden, Sicherheitsinnovationen messbar zu machen. Phillip Hagedorn, Cloud Architect bei HDI Global SE, kommentiert: "Ein künftiger Erfolgsfaktor wird die künstliche Intelligenz von Veracode sein, die uns bei der Behebung von Schwachstellen hilft. KI, die Korrekturen unterstützt, ist ein Gamechanger. Wir haben einen bestätigten Plan, um die Vorteile von KI zu nutzen, und es ist an der Zeit, ihn umzusetzen."

Mit der neuesten IDE-Unterstützung von Veracode können Entwickler auch Schwachstellen in First-Party- und Open-Source-Code identifizieren und beheben, bevor sie in die Codebasis übertragen werden. Dadurch werden Workflows und Problemlösungen mithilfe von statischen Analysen und Software-Kompositionsanalyse in Visual Code Studio, JetBrains (IntelliJ, PyCharm, Rider), Eclipse und Visual Studio optimiert.

Application Security Posture Management mit Veracode Risk Manager für Sicherheitsteams

Neben Veracode Fix korreliert und kontextualisiert Veracode Risk Manager (VRM) Risiken vom Code bis zur Cloud und verfolgt sie zurück bis zum Ursprung, um eine One-to-Many-Abhilfemaßnahme zu ermöglichen. Mit dieser umfassenden Sichtbarkeit können Sicherheitsteams die dringendsten Schwachstellen mit dem geringsten Aufwand priorisieren und beseitigen.

Mehrere neue Verbesserungen an VRM bieten Entwicklern und Sicherheitsteams noch mehr Kontrolle über das Risikomanagement. Zu den neuesten Funktionen gehören:

GitLab Repository Connector: Unterstützt die Ursachenanalyse von Runtime-Problemen, die direkt bis zum Quellcode-Repository zurückverfolgt werden. Teams können so die Ursache von Risiken ermitteln und die Behebung beschleunigen. GitLab Ultimate Security Findings: Ermöglicht die Aufnahme, Vereinheitlichung, Korrelation und Priorisierung von Gitlab Ultimate Security Findings, einschließlich der Ergebnisse von Static Analysis und Container Security. Auf diese Weise können sich die Teams auf die wichtigsten Probleme konzentrieren und erhalten einen einheitlichen Risiko- und Compliance-Report. Custom Compliance Mappings: Bietet Unternehmen die Möglichkeit, Compliance Mappings an ihre jeweiligen Anforderungen anzupassen, wodurch das Compliance-Management vereinfacht wird. Neue Konnektoren: VRM bietet mehrere neue native Konnektoren für Tenable, Qualys, Rapid7, Aquasec, ServiceNow Two-Way Sync und andere.

"VRM ist das Gehirn der Cloud-nativen Sicherheit und ein unverzichtbares Tool für Unternehmen, die ihre Schutzmaßnahmen in einer Cloud-nativen Welt verstärken wollen. Das Tool adressiert gängige Herausforderungen wie eine fragmentierte Sichtbarkeit oder eingeschränkte Skalierbarkeit. Es verändert die Art und Weise, wie Unternehmen Risiken visualisieren, priorisieren und beheben, indem es eine 360-Grad-Ansicht von Schwachstellen bietet. Mit diesen neuesten Verbesserungen und den Funktionen Application Risk Heatmap und Universal Connector, die wir Anfang des Jahres eingeführt haben, ist VRM ein transformatives Upgrade für Unternehmen, die das Thema Sicherheit ernst nehmen", so Jarrett.

Hilfe für Unternehmen bei der Einführung des Secure-by-Design-Konzepts

Der neu ernannte Chief Product Officer von Veracode, Ravi Iyer, setzt sich dafür ein, Sicherheit in die Produktentwicklung zu integrieren und das allgemeine Entwicklererlebnis zu verbessern. "Diese neuesten Innovationen machen deutlich, wie wichtig es ist, Software zu entwickeln, zu kaufen und einzusetzen, die per Design sicher ist. Unsere Kunden benötigen Lösungen, die ihnen dabei helfen, Risiken in großem Maßstab zu identifizieren, zu managen und zu beheben. Diese Nachfrage werden wir auch künftig decken, indem wir die Produkte von Veracode integrieren und die Anwendung durch Entwickler so einfach wie möglich gestalten", ergänzt Iyer.

Veracode wird auf der AWS Re:Invent-Konferenz in Las Vegas vom 2. bis 6. Dezember 2024 vertreten sein. Besuchen Sie Stand 563, um weitere Informationen zu den neuesten Produkten zu erhalten oder eine Demo von Veracode Fix und VRM zu erleben.

Über Veracode

Veracode ist ein weltweit führender Anbieter im Bereich Application Risk Management für das KI-Zeitalter. Die Veracode-Plattform, die mit Billionen von Codezeilen-Analysen trainiert wurde und eine firmeneigene, KI-gestützte Remediation Engine nutzt, wird von Unternehmen auf der ganzen Welt eingesetzt, um sichere Software von der Entwicklung des Codes bis zu dessen Bereitstellung in der Cloud zu erstellen und zu pflegen. Tausende von weltweit führenden Entwicklungs- und Sicherheitsteams nutzen Veracode jede Sekunde am Tag, um sich genaue und handlungsrelevante Einblicke in ausnutzbare Risiken zu verschaffen, Sicherheitslücken in Echtzeit zu schließen und ihre "Sicherheitsschulden" in großem Umfang zu reduzieren. Veracode ist ein mehrfach preisgekröntes Unternehmen, das Produkte zur Sicherung des gesamten Softwareentwicklungszyklus anbietet, darunter Veracode Fix, Static Analysis, Dynamic Analysis, Software Composition Analysis, Container Security, Application Security Posture Management und Penetration Testing.

Weitere Informationen finden Sie unter www.veracode.com, im Veracode-Blog sowie auf LinkedIn und X.

