Tag Archives: Applikationssicherheit

Allgemein

Synopsys integriert kontextsensitive Trainingsplattform in Coverity

Die SAST-Umgebung Coverity enthält weitere Verbesserungen, etwa zur Erkennung von Spectre-Schwachstellen

Synopsys integriert kontextsensitive Trainingsplattform in Coverity

Coverity Screenshot

MOUNTAIN VIEW, Kalifornien/USA, 27. Juni 2018 – Synopsys, Inc. (Nasdaq: SNPS) gab heute die Verfügbarkeit mehrerer neuer Produktfunktionen bekannt, mit denen Entwickler sichere Anwendungen schneller erstellen können. Das neueste Coverity-Release, das von Gartner und Forrester als eines der führenden SAST-Tools (Static Application Security Testing) ausgezeichnet wurde, bietet eine nahtlose Integration mit der komplett neu entwickelten eLearning-Plattform von Synopsys, einer On-Demand-Sicherheitsschulung für Entwickler. Die Integration ermöglicht Entwicklern einen bequemen Zugriff – direkt aus der Coverity Oberfläche – auf kurze, kontextbasierte Trainingsmodule, um Sicherheitsprobleme zu lösen, die Coverity in ihrem Code erkennt. Das Coverity-Release enthält zudem einige Verbesserungen der Sicherheitsanalyse, um mehr Sicherheitslücken in einer Vielzahl von Programmiersprachen und Frameworks entdecken zu können, einschließlich der Möglichkeit, Codemuster zu identifizieren, die anfällig für die derzeit vielbeachteten Spectre-Angriffe (rund um Prozessorlücken) sind.

„Je mehr Organisationen sich für schnelle und iterative Entwicklungsmethoden entscheiden, desto wichtiger wird es, die Sicherheit in den Entwicklungsprozess zu verlagern“, sagt Andreas Kuehlmann, Senior Vice President und General Manager der Synopsys Software Integrity Group. „Das bedeutet, Entwicklern die Tools und Schulungen zu geben, die sie benötigen, um Verantwortung für die Sicherheit ihres Codes selbst zu übernehmen und Schwachstellen frühzeitig zu finden und zu beheben. Entwickler in der Vermeidung von Sicherheitslücken zu schulen, führt zu sicherem Code, verhindert teure Nacharbeiten wie auch unnötige Verzögerungen.“

Coverity-Integration mit neuer eLearning-Plattform

Synopsys eLearning ist eine ergebnisorientierte sowie lernerzentrische Trainingslösung, die Schulungen in Anwendungssicherheit einfach, themenbezogen und für jedermann zugänglich macht. Benutzer haben Zugriff auf eine umfassende Lernplattform, die Sicherheitsexpertise und didaktische Aufbereitung zu einer intuitiven Umgebung vereint.

-Coverity fügt sich nun nahtlos in eLearning ein und bietet Entwicklern kontextspezifische Sicherheitslektionen basierend auf den von Coverity erkannten CWEs (Common Weakness Enumerations).
-Die Integration verwendet ein proprietäres Verfahren, das auf einer algorithmischen Bewertung des Konfidenzniveaus basiert, um erkannte CWEs mit relevanten eLearning-Kursinhalten zu vergleichen. Im Gegensatz zu anderen Schulungstools ist eLearning auf die passenden Abschnitte in einem Kurs verlinkt, um sicherzustellen, dass Entwickler die jeweils relevantesten Informationen erhalten.
-eLearning umfasst 37 Kurse, die eine breite Palette von Anwendungssicherheitsthemen abdecken, darunter Risikoanalyse, Authentifizierung, Sicherheitsstandards, defensive Programmierung für Web- und mobile Anwendungen, Bedrohungsmodellierung, Sicherheitsteststrategie und mehr.

Erfahren Sie mehr über Synopsys eLearning

Die Verbesserungen von Coverity 2018.06

Die neueste Version von Coverity enthält zudem Verbesserungen zur Erkennung von Sicherheitslücken in einer Vielzahl von Programmiersprachen und Frameworks sowie die fortlaufende Unterstützung der neuesten Programmierstandards für Sicherheit und Zuverlässigkeit.

-Spectre: Coverity ist eine der ersten SAST-Lösungen, die spezifische Sicherheitsprüfungen bereitstellt, die Quellcode-Segmente identifizieren, welche potenziell anfällig für Spectre-Angriffe sind.
-Kodierungsstandards: Coverity ermöglicht es Kunden, schnell Apps zu entwickeln, die den jeweils relevanten Industriestandards entsprechen. Coverity unterstützt nun die OWASP Top 10 2017, CERT C ++, MISRA C: 2012 Technical Corrigendum 1 (TC1) und DISA STIG Standards.
-Verbesserte Sicherheitsanalyse: Coverity kann zusätzliche Schwachstellen in Python-, Java- und Swift-Anwendungen erkennen.

Erfahren Sie mehr über Coverity

Über die Synopsys Software Integrity Group
Die Synopsys Software Integrity Group unterstützt Organisationen bei der Erstellung sicherer und hochqualitativer Software, welche Risiken senkt und Tempo sowie Produktivität erhöht. Synopsys ist anerkannter Marktführer in Applikationssicherheit, stellt statische Analysen, Software Composition Analysis (SCA) sowie dynamische Analysen zur Verfügung, die Teams dabei helfen Schwachstellen schnell zu finden und zu beheben sowie Fehler in proprietärem und Open-Source-Code als auch Applikationsverhalten zu beheben. Mit einer Kombination aus industrieführenden Tools, Dienstleistungen und Expertenwissen gelingt es Synopsys, Sicherheit und Qualität in DevSecOps zu steigern und im gesamten Entwicklungszyklus von Software zu etablieren. Erfahren Sie mehr unter synopsys.com/software.

Über Synopsys
Synopsys, Inc. (Nasdaq: SNPS) agiert als Silicon to Software™ Partner innovativer Unternehmen, die zuverlässige Elektronikprodukte und Softwareanwendungen für den Alltag entwickeln. Synopsys ist das fünfzehntgrößte Softwareunternehmen weltweit und kann auf eine lange Geschichte als führender Anbieter in der Electronic Design Automation (EDA) und der Halbleiter-IP verweisen. Auch im Markt für Softwaresicherheit und Softwarequalität kommt dem Unternehmen eine wachsende Bedeutung zu. Ob für System-on-Chip Designer (SoC), die anspruchsvolle Halbleiter entwerfen, oder Softwareentwickler, die Anwendungen mit höchsten Sicherheits- und Qualitätsansprüchen programmieren: Synopsys bietet alle Lösungen, um innovative, hochwertige und sichere Produkte zu liefern. Weitere Informationen unter synopsys.com.

Firmenkontakt
Synopsys, Inc.
Mark Van Elderen
East Middlefield Road 690
94043 Mountain View, CA – USA
001-650-793-7450
mark.vanelderen@synopsys.com
http://www.synopsys.com/software

Pressekontakt
Berkeley Kommunikation GmbH
Patrick Wandschneider
Landwehrstraße 61
80336 München
0049-89-747262-41
patrick.wandschneider@berkeleypr.com
http://www.berkeleypr.com/de

Allgemein

Sichere Applikationen nur mit ganzheitlichem Ansatz möglich

Black Duck und Cigital verhelfen zu mehr Sicherheit bei der Entwicklung von Softwareanwendungen – egal ob quelloffener oder proprietärer Code eingesetzt wird

Sichere Applikationen nur mit ganzheitlichem Ansatz möglich

Open Source Code gelangt über unterschiedliche Wege in ein Unternehmen (Bildquelle: Black Duck Software)

Open Source Software (OSS) bietet unbestreitbar Vorteile – birgt aber auch ein nicht zu unterschätzendes Sicherheitsrisiko. Laut einer Studie von Black Duck wurden bei 67% der getesteten Anwendungen Open Source-Komponenten im Durchschnitt 22,5 Sicherheitslücken gefunden. Doch auch selbstentwickelte Software-Komponenten sind nicht vor potentiellen Schwachstellen gefeit.

Softwareanwendungen haben sich in den letzten Jahren und Jahrzehnten zunehmend verändert. Sie sind längst keine einfachen und monolithischen Gebilde mehr. Bei ihrer Entwicklung wird eine Kombination aus selbstentwickeltem Code und Open Source-Komponenten verwendet. Diese Zusammensetzung stellt traditionelle Tools zur Überprüfung der Anwendungssicherheit vor Probleme. Klassische Tools eignen sich gut für die Überprüfung proprietärer Software, doch für ein erfolgreiches Management von OSS-Komponenten bedarf es zusätzlicher Mittel, um Sicherheitsrisiken zu vermeiden.

Und diese Risiken sind extrem hoch, besonders bei kommerziellen Anwendungen, denn hier werden bei Sicherheitslücken auch die Informationen der Kunden angreifbar. Unternehmen brauchen deshalb einen ganzheitlichen Ansatz, der gewährleistet, dass die entwickelte Softwareanwendung nicht angreifbar ist.

Die Partnerschaft zwischen Black Duck und Cigital unterstützt sie bei einem solchen Ansatz: Während Cigital sich um die selbstgeschriebenen Softwareelemente kümmert, nimmt Black Duck die Open Source-Komponenten unter die Lupe. Die Kombination beider Maßnahmen stellt sicher, dass Sicherlücken erkannt und behoben werden, bevor sie Ziel eines Angriffs werden können. So wird das Gesamtrisiko drastisch gesenkt.

Black Duck steht dabei die hauseigene Black Duck Knowledge Base zur Verfügung, eine Datenbank, welche die Informationen von über einer Million Softwareprojekten auf über 8.500 Seiten über die letzten zehn Jahre enthält. Sie bildet die Datengrundlage für den Black Duck Hub , mithilfe dessen Open Source Security effektiv analysiert und verwaltet wird. Zudem überwacht er sämtliche eingesetzte Software permanent und alarmiert das zuständige Personal, wenn neu bekannt gewordene Sicherheitslücken auftauchen.

Weitere Informationen:

– Ankündigung der Partnerschaft im Blog von Black Duck
– Ankündigung der Partnerschaft im Blog von Cigital
– Studie: The State of Open Source Security in Commercial Applications
Black Duck Hub
Black Duck Knowledge Base

Unternehmen weltweit setzen die branchenführenden Produkte von Black Duck Software ein, um ihre Open Source Software zu schützen und zu verwalten und um Gefahren durch Sicherheitslücken, Compliance-Verstößen und betriebliche Risiken zu beheben. Black Duck hat seinen Hauptsitz in Burlington, Massachusetts und hat Niederlassungen in Mountain View, London, Frankfurt, Hongkong, Tokio, Seoul und Peking.

Firmenkontakt
Black Duck
Birgit Fuchs-Laine
Prinzregentenstraße 79
81675 München
089-417761-13
blackduck@lucyturpin.com
https://www.blackducksoftware.de/

Pressekontakt
Lucy Turpin Communications
Birgit Fuchs-Laine
Prinzregentenstraße 79
81675 München
089-417761-13
blackduck@lucyturpin.com
https://www.blackducksoftware.de/

Allgemein

Workshop „Application Security“: CARMAO beleuchtet Applikationssicherheit

Sicherheit beginnt mit nachhaltigem Application Security Management: CARMAO nimmt am 24. April 2015 Softwaresysteme unter die Lupe

Brechen, 10. April 2015 – Wie lässt sich die Applikationssicherheit unter Berücksichtigung regulatorischer, rechtlicher und Compliance-technischer Anforderungen gewährleisten? Diesem Thema widmet sich die CARMAO GmbH ( www.carmao.de ) im Workshop „Application Security“ in Eschborn am 24. April. Dabei referieren die Experten Jochen Klein und Florian Brunner über die Grundlagen der Applikationssicherheit. Das Training von Mitarbeitern und die Definition konkreter Sicherheitsanforderungen an die Applikation sind dabei unter anderem Inhalt des Workshops. Aber auch technische Maßnahmen zur Prüfung des Applikationsdesigns (Threat Modeling/Produktrisikoanalyse), der Implementation (Code Review/Secure Coding) und der lauffähigen Applikation (Dynamische Analyse/System Test) werden aufgezeigt.

„Vermehrt laufen Angriffe über die Anwendungsebene: Hier greifen Sicherheitslösungen für Netzwerk- und Systemsicherheit zu kurz – wirksamer Schutz muss direkt in der Anwendung umgesetzt werden. Traditionell liegt der Fokus auf der Funktion der Applikation. Sicherheit beginnt jedoch lange, bevor nur eine Zeile Code geschrieben wurde. Dies lässt sich mit nachhaltigem Application Security Management umsetzen“, erklärt Jochen Klein. Im Workshop informiert der CARMAO-Experte gemeinsam mit Florian Brunner, Managing Director und Security Consultant der HolisticSec aus Österreich, über dieses Themenumfeld.

Application Security Management – Systemorientiert im Live-Szenario
Einleitend stellen die Referenten den Security Development Lifecycle (SDL) unter der Berücksichtigung der ISO 27034 zu Gunsten von Schutzmaßnahmen für ein funktionierendes Application Security Management vor. Dabei erhalten die Teilnehmer Einblick in die sieben Phasen des SDL mit entsprechenden Maßnahmen für die Entwicklung sicherer Software. Gleichzeitig bildet die ISO 27034 ein vollständiges Framework für Unternehmen, um eigene Schutzmaßnahmen für die Entwicklung und den Betrieb von Applikationen zu definieren.

Praxisnah haben die Teilnehmer im Zuge der Veranstaltung die Möglichkeit, Beispiele aus ihrer eigenen Software-Entwicklung einzubinden. Anhand dieser visualisieren die Experten, inwieweit der SDL und die ISO 27034 hierbei greifen und welche Änderungen gegebenenfalls eingeleitet werden können. Dies veranschaulicht dem Publikum das Zusammenspiel der Applikationssicherheit mit den verschiedenen SDL-Modellen.

Neben diesen Praxisbeispielen sowie den Grundlagen der Application Security werden die Teilnehmer über weitere konkrete Maßnahmen wie beispielsweise eine Produktrisikoanalyse (Threat Modeling) und die Secure Coding-Standards zur Entwicklung sicherer Software informiert. Anhand eines Systemtests wird demonstriert, wie Security-Schwachstellen effizient gefiltert werden können. Außerdem entsteht ein Überblick über Compliance – rechtliche und regulatorische Anforderungen an Applikationen.

Workshop „Application Security“ im Überblick:
* Einblick in die 7 Phasen des SDL und konkrete Maßnahmen
* Aufbau und Prozesse der ISO 27034
* Mapping des Software Development Lifecycle in die Norm ISO 27034
* Konkrete Maßnahmen zur Entwicklung sicherer Applikationen
* Produktrisikoanalyse (Threat Modeling)
* Secure Coding Maßnahmen
* Systemtest (Finden von Security-Schwachstellen)
* Überblick über die Compliance (rechtliche und regulatorische Anforderungen an Applikationen)
* Interne Anforderungen

Weitere Informationen und Anmeldung unter: http://www.carmao.de/akademie/seminare/1-seminare_workshops/12-ws-as-0415

Die 2003 gegründete CARMAO GmbH mit Hauptsitz in Brechen bei Limburg a. d. Lahn ist Spezialist für Informationssicherheitsmanagement. Dabei bietet das Unternehmen Beratungs- und Dienstleistungen sowie Seminare rund um Informationssicherheit, IT-Security, IT-Risikokanagement, IT-Compliance sowie Datenschutz an. Das Portfolio erstreckt sich von der Analyse und Marktforschung über die Lösungsentwicklung und -implementierung bis hin zum Kompetenztransfer. Für ihre zunehmend global tätigen Kunden ist die CARMAO sowohl national als auch international aktiv. Zum Kundenstamm zählen renommierte Unternehmen aus unterschiedlichen Branchen wie Finanzdienstleistungen, Industrie, Maschinenbau, Gesundheitswesen, Logistik und Öffentliche Verwaltung.www.carmao.de.

Firmenkontakt
CARMAO GmbH
Ulrich Heun
Rathausstraße 17
65611 Brechen
+49 (0)6438-9249-20
presse@carmao.de
http://www.carmao.de

Pressekontakt
punctum pr-agentur GmbH
Ulrike Peter
Neuer Zollhof 3
40221 Düsseldorf
+49 (0)211-9717977-0
up@punctum-pr.de
http://www.punctum-pr.de

Allgemein

Workshop „Application Security“: CARMAO nimmt Softwaresysteme unter die Lupe

Wie lässt sich die Applikationssicherheit unter Berücksichtigung rechtlicher, regulatorischer und Compliance-technischer Anforderungen erzeugen?

Brechen, 11. November 2014 – Zur Umsetzung von Geschäftsprozessen nehmen Softwaresysteme eine Schlüsselrolle ein. Ein Grund, weshalb sich zunehmend Angriffe über die Anwendungsebene abspielen. Wie diese Umgebungen vor derartigen Bedrohungen geschützt werden können, zeigt die CARMAO GmbH im Workshop „Application Security“ am 5. Dezember. Unter dem Dach des Mercure Hotels in Eschborn referiert unter anderem Jochen Klein, CARMAO-Experte für Information Risk Management, über die Grundlagen der Applikationssicherheit. Der Workshop sensibilisiert die Teilnehmer hinsichtlich der Umsetzung eines wirksamen Schutzes in der Software-Anwendung.

„Der Fokus in der Software-Entwicklung liegt traditionell auf der Funktion der Applikation. Die Applikationssicherheit wird in diesem Prozess in der Regel nur berücksichtigt, wenn sie zeitlich, finanziell und personell ins Projekt passt. De facto muss diese jedoch lange, bevor nur eine Zeile Code geschrieben wurde, beginnen – mit einem nachhaltigen Application Security Management“, erklärt Jochen Klein. Über dieses Themenumfeld informiert der Experte gemeinsam mit Florian Brunner, Managing Director und Security Consultant der HolisticSec aus Österreich, im Workshop.

Applikationssicherheit – praxisnah und prozessorientiert
Zu Beginn der Veranstaltung stellen die Referenten den Security Development Lifecycle (SDL) sowie die ISO 27034 vor, die entsprechende Schutzmaßnahmen für ein Application Security Management liefern. Die Teilnehmer erhalten dabei Einblick in die sieben Phasen des SDL, der einen vollständigen Prozessleitfaden für die Entwicklung sicherer Software zur Verfügung stellt. Die ISO 27034 hingegen bildet ein vollständiges Framework für Unternehmen, um eigene Schutzmaßnahmen für die Entwicklung und den Betrieb von Applikationen zu definieren, betreiben und kontinuierlich zu optimieren.

Während der Veranstaltung können die Teilnehmer Beispiele aus der eigenen Software-Entwicklung einbinden. Anhand dieser beleuchtet Jochen Klein, inwiefern sich der SDL und die ISO 27034 hierauf anwenden lassen und welche Änderungen gegebenenfalls erforderlich sind. Dies versetzt das Publikum in die Lage, das Zusammenspiel der Applikationssicherheit mit den verschiedenen SDL-Modellen praxisnah beurteilen zu können.

Neben den Grundlagen der Application Security und den Praxisbeispielen erfahren die Teilnehmer Details über weitere konkrete Maßnahmen wie zum Beispiel eine Produktrisikoanalyse (Threat Modeling) und die Secure Coding-Standards zur Entwicklung sicherer Software. Ein Systemtest zeigt, wie Security-Schwachstellen effizient gefunden werden können und verschafft einen Überblick über sämtliche rechtlichen und regulatorischen sowie Compliance-Anforderungen an die Applikationen.

Abschließend informiert Jochen Klein über die aktuellen Aussagen der BaFin zum Thema Applikationssicherheit und rundet den rechtlichen Rahmen mit einer Diskussion über die Auswirkungen des kommenden IT-Sicherheitsgesetzes ab.

Weitere Informationen und Anmeldung hier

Zeichenzahl: 3.310

Die 2003 gegründete CARMAO GmbH mit Hauptsitz in Brechen bei Limburg a. d. Lahn ist Spezialist für Informationssicherheitsmanagement. Dabei bietet das Unternehmen Beratungs- und Dienstleistungen sowie Seminare rund um Informationssicherheit, IT-Security, IT-Risikokanagement, IT-Compliance sowie Datenschutz an. Das Portfolio erstreckt sich von der Analyse und Marktforschung über die Lösungsentwicklung und -implementierung bis hin zum Kompetenztransfer. Für ihre zunehmend global tätigen Kunden ist die CARMAO sowohl national als auch international aktiv. Zum Kundenstamm zählen renommierte Unternehmen aus unterschiedlichen Branchen wie Finanzdienstleistungen, Industrie, Maschinenbau, Gesundheitswesen, Logistik und Öffentliche Verwaltung.www.carmao.de.

Firmenkontakt
CARMAO GmbH
Ulrich Heun
Rathausstraße 17
65611 Brechen
+49 (0)6438-9249-20
presse@carmao.de
http://www.carmao.de

Pressekontakt
punctum pr-agentur GmbH
Ulrike Peter
Neuer Zollhof 3
40221 Düsseldorf
+49 (0)211-9717977-0
up@punctum-pr.de
http://www.punctum-pr.de