Tag Archives: Software-Security

Allgemein

Synopsys präsentiert BSIMM9: Globale Langzeitstudie unter 120 führenden Unternehmen zeigt starken Anstieg integrierter Softwaresicherheitsinitiativen

Größtes – je über Softwaresicherheit erhobenes – Datenmaterial offenbart wachsenden Einfluss der Cloud-Transformation

Synopsys präsentiert BSIMM9: Globale Langzeitstudie unter 120 führenden Unternehmen zeigt starken Anstieg integrierter Softwaresicherheitsinitiativen

Synopsys Logo

MOUNTAIN VIEW, Kalifornien/USA, 2. Oktober 2018 – Synopsys, Inc. (Nasdaq: SNPS) veröffentlichte heute BSIMM9, die neueste Version des Building Security In Maturity-Modells, das Unternehmen bei der Planung, Ausführung und Messung ihrer Software Security-Initiativen (SSIs) unterstützen soll. Für die neunte Auflage von BSIMM wurden unter anderem Daten von bekannten Firmen wie Oracle, Adobe, PayPal, Alibaba, Cisco, General Electric, Lenovo, Nvidia oder Sony Mobile analysiert, die im Rahmen einer 10-jährigen Beobachtungsphase realer SSIs in insgesamt 120 Unternehmen erhoben wurden. BSIMM9 hebt insbesondere die Auswirkungen der Cloud-Transformation, das Wachstum der Softwaresicherheits-Community sowie die Daten der erstmals vertretenen Retail-Branche hervor. Um die Studie herunterzuladen, besuchen Sie www.bsimm.com/download.html.

„Um erfolgreich zu arbeiten, müssen sich Entwicklungs-, Sicherheits- und Betriebsteams abstimmen. BSIMM9 liefert Daten, die darauf hindeuten, dass dies zunehmend automatisiert geschieht, insbesondere da sich die Software in die Cloud verlagert“, sagt Dr. Brian Chess, Senior Vice President of Infrastructure and Security für NetSuite bei Oracle. „Dies ist ein großer Schritt in die richtige Richtung: mehr Geschwindigkeit und gleichzeitig mehr Sicherheit.“

BSIMM9 beschreibt die Arbeit von mehr als 7.800 Softwaresicherheitsexperten, die die Sicherheitsaufgaben von 415.000 Entwicklern in rund 135.000 Anwendungen leiten. BSIMM9-Unternehmen repräsentieren Branchen wie Finanzdienstleistungen, unabhängige Softwareentwickler (ISVs), Cloud, Gesundheitswesen, Internet der Dinge (IoT), Versicherungen und Handel.

Die wichtigsten Ergebnisse der Studie:

Cloud-Transformation: Unternehmen verlagern ihre Workloads und Entwicklungspipelines immer stärker in die Cloud – ein Paradigmenwechsel, der unterschiedliche Ansätze zur Softwaresicherheit erfordert. Drei neue Aktivitäten, die direkt oder indirekt mit der Cloud-Transformation zusammenhängen, wurden beobachtet und BSIMM hinzugefügt. Darüber hinaus haben sich die Aktivitäten unabhängiger Softwareanbieter, IoT-Unternehmen und Cloud-Firmen stark angenähert, was darauf hindeutet, dass gemeinsame Cloud-Architekturen ähnliche Softwaresicherheitsaktivitäten erfordern.

Branchen: BSIMM kann verwendet werden, um SSIs innerhalb eines Geschäftsfeldes oder branchenübergreifend zu vergleichen. Erstmals ist auch der Handel als Branche vertreten. SSIs werden im Handel immer häufiger angestoßen, da E-Commerce für die Aufrechterhaltung eines gesunden Geschäfts immer entscheidender wird.

Wachstum: BSIMM9 umfasst die Daten von 120 Unternehmen. Bei der achten Auflage der Studie waren es noch lediglich 109. Die Zahl der erfassten Softwaresicherheitsexperten stieg gleichzeitig um 65 Prozent, die der Entwickler um 43 Prozent. Dieser bemerkenswerte Anstieg der Datenbasis zeigt, dass der Stellenwert von Softwaresicherheit deutlich zugenommen hat.

„Das BSIMM-Projekt hat sich zu einem De-Facto-Standard für die Bewertung und Verbesserung von Softwaresicherheit entwickelt“, sagt Dr. Gary McGraw, Vice President of Security Technology bei Synopsys. „Durch die Messung Ihres Unternehmens mit BSIMM können Sie Ihren Sicherheitsansatz direkt mit einigen der weltweit führenden Unternehmen vergleichen. BSIMM9 ist der Höhepunkt eines Jahrzehnts objektiver, beobachtungsbasierter Arbeit vor Ort und enthält den größten Datensatz, der über Softwaresicherheit jemals gesammelt wurde.“

BSIMM umfasst Daten von Unternehmen, die echte SSIs etabliert haben. 116 gemessene Softwaresicherheitsaktivitäten bilden die Basis, um Gemeinsamkeiten und Unterschiede, die jede Initiative einzigartig machen, aufzuzeigen. Die BSIMM-Daten offenbaren, dass Initiativen mit einem hohen Reifegrad besonders erfolgreich sind und zahlreiche Aktivitäten in allen 12 der im Modell beschriebenen Praktiken durchführen. Unternehmen können BSIMM darüber hinaus nutzen, um Initiativen zu vergleichen und in Erfahrung zu bringen, welche zusätzlichen Aktivitäten nützlich sein könnten, um ihre Gesamtstrategie zu unterstützen.

Danksagungen

Dr. McGraw analysierte zusammen mit Sammy Migues, leitender Wissenschaftler bei Synopsys, und Jacob West, Vice President of Cloud Operations für NetSuite bei Oracle, Daten, die in den letzten 10 Jahren der Softwaresicherheitsforschung gesammelt wurden. Zu den beteiligten Unternehmen gehören Adobe, The Advisory Board Company, Aetna, Alibaba Group, Amgen, Anda, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Duck Software, Black Knight, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizens Bank, Comerica Bank, Cryptography Research (a division of Rambus), Dahua, Depository Trust & Clearing Corporation, Ellucian, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Global Payments, Highmark Health, The Home Depot, Horizon Healthcare Services, HSBC, Independent Health, iPipeline, Johnson & Johnson, JPMorgan Chase, Lenovo, LGE, McKesson, Medtronic, Morningstar, Navient, NCR, NetApp, News Corp, Nvidia, NXP Semiconductors, PayPal, Principal Financial Group, Qualcomm, Royal Bank of Canada, Scientific Games, Sony Mobile, Splunk, Synopsys, Target, TD Ameritrade, Trainline, Trane, U.S. Bank, The Vanguard Group, Veritas, Verizon, Wells Fargo, Zendesk, and Zephyr Health.

Über BSIMM

Das 2008 gestartete Building Security In Maturity Model (BSIMM) ist ein Werkzeug zur Messung und Bewertung von Software-Sicherheitsinitiativen. Das BSIMM ist ein datengesteuertes Modell und Messwerkzeug, das durch die sorgfältige Untersuchung und Analyse von Software-Sicherheitsinitiativen entwickelt wurde und reale Daten von mehr als 100 Unternehmen enthält. Der BSIMM ist ein offener Standard, der ein auf Software-Sicherheitspraktiken basierendes Framework beinhaltet, mit dem ein Unternehmen seine eigenen Anstrengungen in der Software-Sicherheit bewerten kann. Weitere Informationen finden Sie unter bsimm.com.

Über die Synopsys Software Integrity Group
Die Synopsys Software Integrity Group unterstützt Organisationen bei der Erstellung sicherer und hochqualitativer Software, welche Risiken senkt und Tempo sowie Produktivität erhöht. Synopsys ist anerkannter Marktführer in Applikationssicherheit, stellt statische Analysen, Software Composition Analysis (SCA) sowie dynamische Analysen zur Verfügung, die Teams dabei helfen Schwachstellen schnell zu finden und zu beheben sowie Fehler in proprietärem und Open-Source-Code als auch Applikationsverhalten zu beheben. Mit einer Kombination aus industrieführenden Tools, Dienstleistungen und Expertenwissen gelingt es Synopsys, Sicherheit und Qualität in DevSecOps zu steigern und im gesamten Entwicklungszyklus von Software zu etablieren. Erfahren Sie mehr unter synopsys.com/software.

Über Synopsys
Synopsys, Inc. (Nasdaq: SNPS) agiert als Silicon to Software™ Partner innovativer Unternehmen, die zuverlässige Elektronikprodukte und Softwareanwendungen für den Alltag entwickeln. Synopsys ist das fünfzehntgrößte Softwareunternehmen weltweit und kann auf eine lange Geschichte als führender Anbieter in der Electronic Design Automation (EDA) und der Halbleiter-IP verweisen. Auch im Markt für Softwaresicherheit und Softwarequalität kommt dem Unternehmen eine wachsende Bedeutung zu. Ob für System-on-Chip Designer (SoC), die anspruchsvolle Halbleiter entwerfen, oder Softwareentwickler, die Anwendungen mit höchsten Sicherheits- und Qualitätsansprüchen programmieren: Synopsys bietet alle Lösungen, um innovative, hochwertige und sichere Produkte zu liefern. Weitere Informationen unter synopsys.com.

Firmenkontakt
Synopsys, Inc.
Mark Van Elderen
East Middlefield Road 690
94043 Mountain View, CA | USA
001-650-793-7450
mark.vanelderen@synopsys.com
http://www.synopsys.com/software

Pressekontakt
Berkeley Kommunikation GmbH
Joachim Dreher
Landwehrstraße 61
80336 München | Deutschland
0049-89-747262-44
joachim.dreher@berkeleypr.com
http://www.berkeleypr.com/de

Allgemein

Synopsys integriert kontextsensitive Trainingsplattform in Coverity

Die SAST-Umgebung Coverity enthält weitere Verbesserungen, etwa zur Erkennung von Spectre-Schwachstellen

Synopsys integriert kontextsensitive Trainingsplattform in Coverity

Coverity Screenshot

MOUNTAIN VIEW, Kalifornien/USA, 27. Juni 2018 – Synopsys, Inc. (Nasdaq: SNPS) gab heute die Verfügbarkeit mehrerer neuer Produktfunktionen bekannt, mit denen Entwickler sichere Anwendungen schneller erstellen können. Das neueste Coverity-Release, das von Gartner und Forrester als eines der führenden SAST-Tools (Static Application Security Testing) ausgezeichnet wurde, bietet eine nahtlose Integration mit der komplett neu entwickelten eLearning-Plattform von Synopsys, einer On-Demand-Sicherheitsschulung für Entwickler. Die Integration ermöglicht Entwicklern einen bequemen Zugriff – direkt aus der Coverity Oberfläche – auf kurze, kontextbasierte Trainingsmodule, um Sicherheitsprobleme zu lösen, die Coverity in ihrem Code erkennt. Das Coverity-Release enthält zudem einige Verbesserungen der Sicherheitsanalyse, um mehr Sicherheitslücken in einer Vielzahl von Programmiersprachen und Frameworks entdecken zu können, einschließlich der Möglichkeit, Codemuster zu identifizieren, die anfällig für die derzeit vielbeachteten Spectre-Angriffe (rund um Prozessorlücken) sind.

„Je mehr Organisationen sich für schnelle und iterative Entwicklungsmethoden entscheiden, desto wichtiger wird es, die Sicherheit in den Entwicklungsprozess zu verlagern“, sagt Andreas Kuehlmann, Senior Vice President und General Manager der Synopsys Software Integrity Group. „Das bedeutet, Entwicklern die Tools und Schulungen zu geben, die sie benötigen, um Verantwortung für die Sicherheit ihres Codes selbst zu übernehmen und Schwachstellen frühzeitig zu finden und zu beheben. Entwickler in der Vermeidung von Sicherheitslücken zu schulen, führt zu sicherem Code, verhindert teure Nacharbeiten wie auch unnötige Verzögerungen.“

Coverity-Integration mit neuer eLearning-Plattform

Synopsys eLearning ist eine ergebnisorientierte sowie lernerzentrische Trainingslösung, die Schulungen in Anwendungssicherheit einfach, themenbezogen und für jedermann zugänglich macht. Benutzer haben Zugriff auf eine umfassende Lernplattform, die Sicherheitsexpertise und didaktische Aufbereitung zu einer intuitiven Umgebung vereint.

-Coverity fügt sich nun nahtlos in eLearning ein und bietet Entwicklern kontextspezifische Sicherheitslektionen basierend auf den von Coverity erkannten CWEs (Common Weakness Enumerations).
-Die Integration verwendet ein proprietäres Verfahren, das auf einer algorithmischen Bewertung des Konfidenzniveaus basiert, um erkannte CWEs mit relevanten eLearning-Kursinhalten zu vergleichen. Im Gegensatz zu anderen Schulungstools ist eLearning auf die passenden Abschnitte in einem Kurs verlinkt, um sicherzustellen, dass Entwickler die jeweils relevantesten Informationen erhalten.
-eLearning umfasst 37 Kurse, die eine breite Palette von Anwendungssicherheitsthemen abdecken, darunter Risikoanalyse, Authentifizierung, Sicherheitsstandards, defensive Programmierung für Web- und mobile Anwendungen, Bedrohungsmodellierung, Sicherheitsteststrategie und mehr.

Erfahren Sie mehr über Synopsys eLearning

Die Verbesserungen von Coverity 2018.06

Die neueste Version von Coverity enthält zudem Verbesserungen zur Erkennung von Sicherheitslücken in einer Vielzahl von Programmiersprachen und Frameworks sowie die fortlaufende Unterstützung der neuesten Programmierstandards für Sicherheit und Zuverlässigkeit.

-Spectre: Coverity ist eine der ersten SAST-Lösungen, die spezifische Sicherheitsprüfungen bereitstellt, die Quellcode-Segmente identifizieren, welche potenziell anfällig für Spectre-Angriffe sind.
-Kodierungsstandards: Coverity ermöglicht es Kunden, schnell Apps zu entwickeln, die den jeweils relevanten Industriestandards entsprechen. Coverity unterstützt nun die OWASP Top 10 2017, CERT C ++, MISRA C: 2012 Technical Corrigendum 1 (TC1) und DISA STIG Standards.
-Verbesserte Sicherheitsanalyse: Coverity kann zusätzliche Schwachstellen in Python-, Java- und Swift-Anwendungen erkennen.

Erfahren Sie mehr über Coverity

Über die Synopsys Software Integrity Group
Die Synopsys Software Integrity Group unterstützt Organisationen bei der Erstellung sicherer und hochqualitativer Software, welche Risiken senkt und Tempo sowie Produktivität erhöht. Synopsys ist anerkannter Marktführer in Applikationssicherheit, stellt statische Analysen, Software Composition Analysis (SCA) sowie dynamische Analysen zur Verfügung, die Teams dabei helfen Schwachstellen schnell zu finden und zu beheben sowie Fehler in proprietärem und Open-Source-Code als auch Applikationsverhalten zu beheben. Mit einer Kombination aus industrieführenden Tools, Dienstleistungen und Expertenwissen gelingt es Synopsys, Sicherheit und Qualität in DevSecOps zu steigern und im gesamten Entwicklungszyklus von Software zu etablieren. Erfahren Sie mehr unter synopsys.com/software.

Über Synopsys
Synopsys, Inc. (Nasdaq: SNPS) agiert als Silicon to Software™ Partner innovativer Unternehmen, die zuverlässige Elektronikprodukte und Softwareanwendungen für den Alltag entwickeln. Synopsys ist das fünfzehntgrößte Softwareunternehmen weltweit und kann auf eine lange Geschichte als führender Anbieter in der Electronic Design Automation (EDA) und der Halbleiter-IP verweisen. Auch im Markt für Softwaresicherheit und Softwarequalität kommt dem Unternehmen eine wachsende Bedeutung zu. Ob für System-on-Chip Designer (SoC), die anspruchsvolle Halbleiter entwerfen, oder Softwareentwickler, die Anwendungen mit höchsten Sicherheits- und Qualitätsansprüchen programmieren: Synopsys bietet alle Lösungen, um innovative, hochwertige und sichere Produkte zu liefern. Weitere Informationen unter synopsys.com.

Firmenkontakt
Synopsys, Inc.
Mark Van Elderen
East Middlefield Road 690
94043 Mountain View, CA – USA
001-650-793-7450
mark.vanelderen@synopsys.com
http://www.synopsys.com/software

Pressekontakt
Berkeley Kommunikation GmbH
Patrick Wandschneider
Landwehrstraße 61
80336 München
0049-89-747262-41
patrick.wandschneider@berkeleypr.com
http://www.berkeleypr.com/de

Allgemein

GrammaTech erhält Auftrag der US-Regierung für 5 neue Cybersecurity Projekte

Ithaca, NY (USA) – 3. Mai 2016 – GrammaTech , ein führender Anbieter von Lösungen für Software-Sicherung, Hardening und Cybersicherheit, hat von der US Regierung fünf Forschungsverträge zur Weiterentwicklung von Techniken und Technologien der statischen Analyse und Software Sicherung erhalten. Die Forschungsteams von GrammaTech konzentrieren sich weiterhin auf die Lösung der schwierigsten Probleme bei Software für Embedded Geräte; diese neuen Forschungsprojekte werden CodeSonar ergänzen. CodeSonar, die gewerbliche Software des Unternehmens, findet Fehler, Sicherheitsschwachstellen und komplexe Programmierfehler in Software.
Unterstützt von Abteilungen des US Departments of Defense (DOD) und des Departments of Homeland Security (DHS), zielen die neuesten Forschungsprojekte auf den Schutz von Gerätesoftware ab:
– Aufspüren kritischer Sicherheitsprobleme mithilfe von Big Code –
Unterstützt von DARPA (Defense Advanced Research Projects Agency):
Die meisten modernen Systeme beinhlaten einen beachtlichen Anteil an 3rd-Party-Software mit schlummernden Fehlern, die die Sicherheit der gesamten Softwarekette beeinträchtigen. GrammaTech wird ein Schwachstellen-Bewertungstool entwickeln, das diese Binary Executables untersucht und kritische Stellen mithilfe einer Kombination aus statischen und sprachbasierten Techniken aufdeckt.

– Vorwegnahme der Entwicklung von Malware – Unterstützt vom DSD (Department of Homeland Security):
Basierend auf bestehende Sammlungen an Malware und den Ergebnissen früherer Projekte wie DARPAs CyberGenome und MUSE, wird dieses Projekt zur Bekämpfung bösartiger Malware beitragen. GrammaTech wird Mustererkennungs- und Maschinenlernalgorithmen erschaffen, die gängige Merkmale in Malware identifizieren und verändernde Muster in neuer Malware erkennt. Sie sollen entstehende Threads aufspüren, bevor diese sich verbreiten.

– Einspeisung von Schwachstellen zur konfigurierbaren Cyberabwehr – Unterstützt von der DARPA:
GrammaTech wird ein Tool zur Erstellung von Bewertungsbenchmarks für Cybersicherheit entwickeln. Damit können Anwender die Wirksamkeit ihrer aktuellen Cyberabwehr einschätzen, um spezielle Schwachstellen in ihrer Software aufzuspüren. Beispielsweise können sie durch Einführen des Heartbeed Bugs in ihre Software feststellen, ob ihr eingesetztes statisches Analysetool den Heartbeed Bug entdeckt hätte, wäre er Teil ihrer Anwendungen gewesen.

– Wiederherstellung der High-Level Architektur von Embedded Systemen – Unterstützt vom OSD( Office of the Secretary of Defense):
Um Sicherheitsforschern die schnelle Identifizierung von gefährlichen Cyberangriffsflächen, Schwachstellen und Anfälligkeiten zu ermöglichen, wird GrammaTech innovative Tools und Techniken zur Wiederherstellung der Architektur eines Softwaresystems entwickeln, die diese präzise nachbauen und aufzeigen, und ihre Sicherheit beurteilen.

– Einfügen von Code in Firmware-Images – Unterstützt von der U.S. Navy:
Die Reparatur von Software, die zwischen Embedded Geräten läuft, ist schwierig, insbesondere wenn es keinen Zugang zum orignalen Quellcode gibt. GrammaTech wird ein Tool entwickeln, das den Prozess der Umwandlung einer High-level Patchbeschreibung in ein modifiziertes Firmware-Image automatisiert, so einfach als hätten sie Zugang zur Originalquelle.

„Wir freuen uns über die Fortsetzung unserer Entwicklung neuer Technologien, um die ständig wachsenden Probleme der Cybersicherheit zu lösen“, so Tim Teitelbaum, CEO von GrammaTech. „Die fünf neuen Forschungsprojekte zeichen die technische Expertise unserer Teams auf, und werden unsere Innovationen bei Software-Analyse und -Hardening weiter vorantreiben. Die Ergebnisse dieser Projekte werden Software-Threads abschwächen. Wir sind stolz, dass wir dies für unsere Forschungssponsoren umsetzen können.“
Weitere Information über die Forschung von GrammaTech bei Software Assurance, Software Hardening und Automomic Computing steht unter: www.grammatech.com/research.

Über GrammaTech (www.grammatech.com):
Software-Entwickler auf der ganzen Welt setzen die Tools von GrammaTech ein, in verschiedensten Märkten wie Luft-/Raumfahrt, Automotive, Medizintechnik und andere Anwendungen, wo Zuverlässigkeit und Sicherheit zu den Grundvoraussetzungen zählen. GrammaTech entstand aus einem Forschungsprojekt an der Cornell Universität. Heute treibt das Unternehmen die Wissenschaft der Software-Sicherheit, Software Hardening und autonomes Computing voran und bietet Techniken und Technologien, mit denen Software-Teams sichere und stabilere Software programmieren können.

Firmenkontakt
GrammaTech, Inc.
Mary Shelato
531 Esty Street 531
NY 14850 Ithaca
001 607-273-7340
sales@grammatech.com
http://www.grammatech.com

Pressekontakt
Agentur Lorenzoni GmbH, Public Relations
Beate Lorenzoni
Landshuter Straße 29
85435 Erding b. München
+49 8122 559 17-0
beate@lorenzoni.de
http://www.lorenzoni.de