Tag Archives: DevSecOps

Allgemein

Neue Seeker-Version definiert IAST neu

Seeker 2018.07 erkennt Schwachstellen jetzt auch in DevOps-Geschwindigkeit

Neue Seeker-Version definiert IAST neu

MOUNTAIN VIEW, Kalifornien/USA, 31. Juli 2018 – Synopsys, Inc. – Marktführer im Bereich Applikationssicherheit – präsentiert heute die neueste Version der interaktiven Application Security Testing-Lösung Seeker®. Nahtlos in CI/CD-Pipelines integrierbar, überwacht diese alle relevanten Testzyklen von Webanwendungen bereits in der Entwicklungs- und Testphase. Als einzige Anwendungssicherheitslösung erkennt sowie prüft Seeker automatisiert den Anfälligkeitsgrad von Schwachstellen und gibt den verantwortlichen Entwicklern in Echtzeit präzise und sofort umsetzbare Handlungsempfehlungen.

Der einzigartige Ansatz von Seeker reduziert durch enge Rückkopplungsschleifen kontinuierlich das Anwendungssicherheitsrisiko und ergänzt darüber hinaus DAST-Scans und Penetrationstests. Sicherheitsrisiken, die in späten Entwicklungsstadien auftreten, erfordern oftmals dedizierte Out-of-Band-Testzyklen sowie manuelle Ergebnisprüfungen. Um Software-Abhängigkeitsrisiken zu minimieren, integriert Seeker jetzt Black Duck Binary Analysis (vormals Protecode SC). Dadurch werden bekannte Schwachstellen und potenzielle Lizenzkonflikte in Open-Source-Komponenten automatisch erkannt. Darüber hinaus ist Seeker die einzige Lösung von IAST, die das Tracking sensibler Daten im Hinblick auf die Einhaltung von Standards und Vorschriften wie PCI DSS und DSGVO ermöglicht. Seeker ist dabei einfach zu implementieren und unterstützt Cloud- und Microservices-basierte Anwendungsarchitekturen.

„Seeker wurde speziell für Unternehmen entwickelt, die DevOps einsetzen und Automatisierung nutzen, um ihren Kunden kontinuierliche Software-Verbesserungen zu bieten“, sagt Andreas Kuehlmann, General Manager der Synopsys Software Integrity Group. „Aufgrund des kontinuierlichen Monitorings, unübertroffener Genauigkeit und kontextbezogenen Empfehlungen macht Seeker alle manuell durchzuführenden Sicherheitstests obsolet. Entwickler werden somit befähigt, Verantwortung für Applikationssicherheit zu übernehmen.“

„Entwickler erstellen heute oft mehrere Anwendungen pro Tag. Tests zur Anwendungssicherheit müssen in diesen engen Zeitrahmen passen oder die gesamte Entwicklungsmaschinerie kommt zum Stillstand“, schreibt Amy DeMartine, Principal Analyst bei Forrester Research. „Dynamische Anwendungssicherheitstests (DAST) waren lange Zeit eine Belastung für Unternehmen, die versuchen, die Sicherheit bei Entwicklungsgeschwindigkeiten zu prüfen.“ [1]

Zu den wichtigsten Funktionen der neuen Seeker-Version 2018.07 zählen:

Aktive Überprüfung von Schwachstellen für unübertroffene Genauigkeit: Seeker ist die einzige IAST-Lösung, die eine automatisierte aktive Verifizierung bietet. Auf diese Weise wird die Angreifbarkeit identifizierter Schwachstellen zweifelsfrei bestätigt. Dieser Nachweis wird durch eine patentierte Technologie erreicht, die HTTP(S)-Anfragen mit fehlerhaften Parametern wiederholt und den daraus resultierenden Datenfluss der Anwendung überwacht. Das Ergebnis ist eine nahezu gegen Null gehende False-Positive-Rate, die deutlich niedriger liegt als bei anderen IAST- und DAST-Lösungen und somit die Kosten manueller Verifizierung reduziert.

Sensitives Daten-Tracking: Seeker ist das einzige IAST-Tool, mit dem Sicherheitsteams vertrauliche Daten wie Kreditkartennummern, Benutzernamen und Kennwörter identifizieren und verfolgen können. Auf diese Weise wird gewährleistet, dass diese sicher und nicht in schwach oder überhaupt nicht verschlüsselten Protokolldateien oder Datenbanken gespeichert werden. Das Tracking sensibler Daten hilft Unternehmen, geltende Datenschutzbestimmungen einzuhalten, darunter PCI DSS, HIPAA und DSGVO.

CI/CD-Integration und flexible Bereitstellung: Seeker kann in nahezu jede Art von automatisierter oder manueller Testumgebung integriert werden. Seeker fügt sich nahtlos in CI/CD-Pipelines mittels nativen Plugins und einfach zu bedienenden Web-APIs ein, zur Fehlerverfolgung, Erstellung und Testautomatisierung. Seeker unterstützt Microservices- und cloudbasierte Anwendungsarchitekturen und ist skalierbar – also auch für die Anforderungen großer Unternehmen geeignet.

Weitere Informationen zur interaktiven Application Security Testing-Lösung Seeker unter:
https://www.synopsys.com/software-integrity/security-testing/interactive-application-security-testing.html

Interesse an einem Seeker-Webinar am 28. August 2018? Registrierung unter:
https://www.brighttalk.com/webcast/11447/331260?utm_source=pressrelease

[1] Amy DeMartine, Construct a Business Case for Interactive Application Security Testing, Forrester Research, 2017

Über die Synopsys Software Integrity Group
Die Synopsys Software Integrity Group unterstützt Organisationen bei der Erstellung sicherer und hochqualitativer Software, welche Risiken senkt und Tempo sowie Produktivität erhöht. Synopsys ist anerkannter Marktführer in Applikationssicherheit, stellt statische Analysen, Software Composition Analysis (SCA) sowie dynamische Analysen zur Verfügung, die Teams dabei helfen Schwachstellen schnell zu finden und zu beheben sowie Fehler in proprietärem und Open-Source-Code als auch Applikationsverhalten zu beheben. Mit einer Kombination aus industrieführenden Tools, Dienstleistungen und Expertenwissen gelingt es Synopsys, Sicherheit und Qualität in DevSecOps zu steigern und im gesamten Entwicklungszyklus von Software zu etablieren. Erfahren Sie mehr unter synopsys.com/software.

Über Synopsys
Synopsys, Inc. (Nasdaq: SNPS) agiert als Silicon to Software™ Partner innovativer Unternehmen, die zuverlässige Elektronikprodukte und Softwareanwendungen für den Alltag entwickeln. Synopsys ist das fünfzehntgrößte Softwareunternehmen weltweit und kann auf eine lange Geschichte als führender Anbieter in der Electronic Design Automation (EDA) und der Halbleiter-IP verweisen. Auch im Markt für Softwaresicherheit und Softwarequalität kommt dem Unternehmen eine wachsende Bedeutung zu. Ob für System-on-Chip Designer (SoC), die anspruchsvolle Halbleiter entwerfen, oder Softwareentwickler, die Anwendungen mit höchsten Sicherheits- und Qualitätsansprüchen programmieren: Synopsys bietet alle Lösungen, um innovative, hochwertige und sichere Produkte zu liefern. Weitere Informationen unter synopsys.com.

Firmenkontakt
Synopsys, Inc.
Mark Van Elderen
East Middlefield Road 690
94043 Mountain View, CA – USA
001-650-793-7450
mark.vanelderen@synopsys.com
http://www.synopsys.com/software

Pressekontakt
Berkeley Kommunikation GmbH
Joachim Dreher
Landwehrstraße 61
80336 München
0049-89-747262-44
joachim.dreher@berkeleypr.com
http://www.berkeleypr.com/de

Allgemein

Synopsys integriert kontextsensitive Trainingsplattform in Coverity

Die SAST-Umgebung Coverity enthält weitere Verbesserungen, etwa zur Erkennung von Spectre-Schwachstellen

Synopsys integriert kontextsensitive Trainingsplattform in Coverity

Coverity Screenshot

MOUNTAIN VIEW, Kalifornien/USA, 27. Juni 2018 – Synopsys, Inc. (Nasdaq: SNPS) gab heute die Verfügbarkeit mehrerer neuer Produktfunktionen bekannt, mit denen Entwickler sichere Anwendungen schneller erstellen können. Das neueste Coverity-Release, das von Gartner und Forrester als eines der führenden SAST-Tools (Static Application Security Testing) ausgezeichnet wurde, bietet eine nahtlose Integration mit der komplett neu entwickelten eLearning-Plattform von Synopsys, einer On-Demand-Sicherheitsschulung für Entwickler. Die Integration ermöglicht Entwicklern einen bequemen Zugriff – direkt aus der Coverity Oberfläche – auf kurze, kontextbasierte Trainingsmodule, um Sicherheitsprobleme zu lösen, die Coverity in ihrem Code erkennt. Das Coverity-Release enthält zudem einige Verbesserungen der Sicherheitsanalyse, um mehr Sicherheitslücken in einer Vielzahl von Programmiersprachen und Frameworks entdecken zu können, einschließlich der Möglichkeit, Codemuster zu identifizieren, die anfällig für die derzeit vielbeachteten Spectre-Angriffe (rund um Prozessorlücken) sind.

„Je mehr Organisationen sich für schnelle und iterative Entwicklungsmethoden entscheiden, desto wichtiger wird es, die Sicherheit in den Entwicklungsprozess zu verlagern“, sagt Andreas Kuehlmann, Senior Vice President und General Manager der Synopsys Software Integrity Group. „Das bedeutet, Entwicklern die Tools und Schulungen zu geben, die sie benötigen, um Verantwortung für die Sicherheit ihres Codes selbst zu übernehmen und Schwachstellen frühzeitig zu finden und zu beheben. Entwickler in der Vermeidung von Sicherheitslücken zu schulen, führt zu sicherem Code, verhindert teure Nacharbeiten wie auch unnötige Verzögerungen.“

Coverity-Integration mit neuer eLearning-Plattform

Synopsys eLearning ist eine ergebnisorientierte sowie lernerzentrische Trainingslösung, die Schulungen in Anwendungssicherheit einfach, themenbezogen und für jedermann zugänglich macht. Benutzer haben Zugriff auf eine umfassende Lernplattform, die Sicherheitsexpertise und didaktische Aufbereitung zu einer intuitiven Umgebung vereint.

-Coverity fügt sich nun nahtlos in eLearning ein und bietet Entwicklern kontextspezifische Sicherheitslektionen basierend auf den von Coverity erkannten CWEs (Common Weakness Enumerations).
-Die Integration verwendet ein proprietäres Verfahren, das auf einer algorithmischen Bewertung des Konfidenzniveaus basiert, um erkannte CWEs mit relevanten eLearning-Kursinhalten zu vergleichen. Im Gegensatz zu anderen Schulungstools ist eLearning auf die passenden Abschnitte in einem Kurs verlinkt, um sicherzustellen, dass Entwickler die jeweils relevantesten Informationen erhalten.
-eLearning umfasst 37 Kurse, die eine breite Palette von Anwendungssicherheitsthemen abdecken, darunter Risikoanalyse, Authentifizierung, Sicherheitsstandards, defensive Programmierung für Web- und mobile Anwendungen, Bedrohungsmodellierung, Sicherheitsteststrategie und mehr.

Erfahren Sie mehr über Synopsys eLearning

Die Verbesserungen von Coverity 2018.06

Die neueste Version von Coverity enthält zudem Verbesserungen zur Erkennung von Sicherheitslücken in einer Vielzahl von Programmiersprachen und Frameworks sowie die fortlaufende Unterstützung der neuesten Programmierstandards für Sicherheit und Zuverlässigkeit.

-Spectre: Coverity ist eine der ersten SAST-Lösungen, die spezifische Sicherheitsprüfungen bereitstellt, die Quellcode-Segmente identifizieren, welche potenziell anfällig für Spectre-Angriffe sind.
-Kodierungsstandards: Coverity ermöglicht es Kunden, schnell Apps zu entwickeln, die den jeweils relevanten Industriestandards entsprechen. Coverity unterstützt nun die OWASP Top 10 2017, CERT C ++, MISRA C: 2012 Technical Corrigendum 1 (TC1) und DISA STIG Standards.
-Verbesserte Sicherheitsanalyse: Coverity kann zusätzliche Schwachstellen in Python-, Java- und Swift-Anwendungen erkennen.

Erfahren Sie mehr über Coverity

Über die Synopsys Software Integrity Group
Die Synopsys Software Integrity Group unterstützt Organisationen bei der Erstellung sicherer und hochqualitativer Software, welche Risiken senkt und Tempo sowie Produktivität erhöht. Synopsys ist anerkannter Marktführer in Applikationssicherheit, stellt statische Analysen, Software Composition Analysis (SCA) sowie dynamische Analysen zur Verfügung, die Teams dabei helfen Schwachstellen schnell zu finden und zu beheben sowie Fehler in proprietärem und Open-Source-Code als auch Applikationsverhalten zu beheben. Mit einer Kombination aus industrieführenden Tools, Dienstleistungen und Expertenwissen gelingt es Synopsys, Sicherheit und Qualität in DevSecOps zu steigern und im gesamten Entwicklungszyklus von Software zu etablieren. Erfahren Sie mehr unter synopsys.com/software.

Über Synopsys
Synopsys, Inc. (Nasdaq: SNPS) agiert als Silicon to Software™ Partner innovativer Unternehmen, die zuverlässige Elektronikprodukte und Softwareanwendungen für den Alltag entwickeln. Synopsys ist das fünfzehntgrößte Softwareunternehmen weltweit und kann auf eine lange Geschichte als führender Anbieter in der Electronic Design Automation (EDA) und der Halbleiter-IP verweisen. Auch im Markt für Softwaresicherheit und Softwarequalität kommt dem Unternehmen eine wachsende Bedeutung zu. Ob für System-on-Chip Designer (SoC), die anspruchsvolle Halbleiter entwerfen, oder Softwareentwickler, die Anwendungen mit höchsten Sicherheits- und Qualitätsansprüchen programmieren: Synopsys bietet alle Lösungen, um innovative, hochwertige und sichere Produkte zu liefern. Weitere Informationen unter synopsys.com.

Firmenkontakt
Synopsys, Inc.
Mark Van Elderen
East Middlefield Road 690
94043 Mountain View, CA – USA
001-650-793-7450
mark.vanelderen@synopsys.com
http://www.synopsys.com/software

Pressekontakt
Berkeley Kommunikation GmbH
Patrick Wandschneider
Landwehrstraße 61
80336 München
0049-89-747262-41
patrick.wandschneider@berkeleypr.com
http://www.berkeleypr.com/de