Suchen

Application Security Management

Risiken in Anwendungssoftware vermeiden

Seite: 3/3

Firmen zum Thema

Größte Risiken schnellstmöglich angehen

Die durchschnittliche Zeit, die benötigt wird, um identifizierte und priorisierte Software-Schwachstellen zu korrigieren, ist eine wichtige Metrik für ein effektives Application Security Management. Diese Metrik hilft zu verstehen, wie lang das Zeitfenster der Verwundbarkeit in produktiven Anwendungen ist, sagt John Dickson von der Denim Group.

Diese Metrik würde nur leider von vielen Unternehmen nicht übergreifend erhoben oder kommuniziert. Daher sei es schwierig, bei Anwendungs- und Sicherheitsverantwortlichen ein gemeinsames Risikoverständnis durchzusetzen. Die Folge: schwerwiegende Sicherheitslücken würden viel zu lange Zeit in produktiven Anwendungen klaffen, resümiert Dickson.

Dabei hat Dicksons Firma, Denim Group, die Sicherheitsaudits und Beratung für die sichere Anwendungsentwicklung anbietet, für das übergreifende Management von Risiken in Geschäftsanwendungen mit ThreadFix eine spezielle Software entwickelt. Weitere Details über das Security-Tool finden Interessierte im folgenden Kasten.

Ergänzendes zum Thema
Über ThreadFix

ThreadFix ermöglicht es den Application Security Teams und den verschiedenen Anwendungsverantwortlichen, eine gemeinsame Basis für die Priorisierung und Behebung von Softwarerisiken zu finden. So können sie wichtige Sicherheits- und Qualitätsmeilensteine in ihren Projekten leichter erzielen und werden dabei in den gesamten Application Security Management-Prozessen optimal unterstützt.

Die Besonderheit von Threadfix besteht in der umfänglichen Integration führender statischer und dynamischer Code Scanning-Lösungen, aus denen die Scanergebnisse automatisiert übernommen, konsolidiert und einheitlich dargestellt werden. Für die Priorisierung von Schwachstellen in kundeneigenen SAP ABAP-Anwendungen werden die Scan-Ergebnisse aus dem Virtual Forge CodeProfiler integriert. ThreadFix bietet so eine zentrale Sicht auf die Risikosituation in den verschiedenen Geschäftsanwendungen und hilft den Verantwortlichen, informierte Entscheidungen zu treffen.

Die Priorisierung der Risiken von Softwareschwachstellen wird samt Kommentierung anschließend wieder zurück an die gewohnte Arbeitsumgebung der einzelnen Anwendungsteams gespielt. Das ermöglicht den Entwicklern, die Ergebnisse aus ThreadFix in ihren jeweils spezifischen Entwicklungs-, Testing- und Defect Tracking-Frameworks weiter zu nutzen und zu bearbeiten. Eine runde Sache also, bei der alle Beteiligten nur gewinnen können und ein übergreifendes Application Security Management-Programm erfolgreich macht.

* Jannis Blume ist Content Marketing Manager bei Virtual Forge.

(ID:43432903)