Der Application-Security-Testing-Experte Veracode bietet seine statische Code-Analyse, kurz SAST, künftig auch unter GitHub Actions an. Entsprechende Scans lassen sich also direkt innerhalb der CI/CD-Pipeline integrieren und initiieren.
Wie ist es um die Code-Sicherheit bestellt und wie sehen erfolgreiche DevSecOps-Strategien aus? Die Studie „Modern Application Development Security“, die von ESG Global im Auftrag von Veracode erstellt wurde, beantwortet derlei Fragen.
Wer mehr ausgibt, als er einnimmt, schiebt schnell einen großen Schuldenberg vor sich her. Ähnlich verhält es sich in der IT-Sicherheit. Wer weniger Probleme löst, als neue entstehen, kann keine vollständige Sicherheit gewährleisten und bleibt angreifbar.
DevSecOps steht sinnbildlich dafür, dass bei der Verzahnung von Entwicklung und Betrieb die Sicherheit nicht auf der Strecke bleiben darf. Doch auch die Integration von Sicherheitsprozessen erfordert einen Kulturwandel, die wichtigsten Punkte hat Veracode zusammengefasst.
Für den Report „State of the Software Security“ erfasst Veracode alljährlich diverse Zahlen zur Software- und Applikationssicherheit. Die Analysen lassen zum Jahreswechsel auch Rückschlüsse auf die Security-Trends und -Bedrohungen der kommenden Monate und Jahre zu.
Jede Web- und Mobilanwendung, die von Unternehmen benutzt wird, setzt Authentifizierungsmethoden ein. Sie sind Dreh- und Angelpunkt der Sicherheit von Applikationen. Authentifizierungsvorgänge sichern nicht nur die Anwendungen selbst, sondern schaffen auch individuellen Zugriffsschutz für jedes Benutzerkonto. Gleichzeitig können sie jedoch auch zu einem der gefährlichsten Einfallstore für Hacker und Cyberkriminelle werden.
Im Ringen um einen Teil des IT-Budgets zieht die Anwendungssicherheit oft den Kürzeren, berichtet Veracode mit Blick auf den „State of Software Security Report“. Fünf Tipps sollen Security-Verantwortlichen dabei helfen, eine höhere Ausbeute zu erzielen.
Das Aufspüren von Sicherheitslücken ist oft kein Problem, das zeitnahe Patching hingegen schon. Sichere Softwareentwicklung von Anfang an ist deshalb ebenso wichtig, wie die Developer in die reaktiven Sicherheitsprozesse mit einzubinden.
Auf Basis der neunten Auflage des „State of Software Security“-Reports hat Veracode sich die Fehlerbehebungsrate genauer angesehen. Demnach sei die durchschnittliche Zeitspanne zwischen der Entdeckung einer Schwachstelle und deren Behebung alarmierend.
Bei der Softwareentwicklung kommen oft Open-Source-Bibliotheken zum Einsatz, um Zeit und Kosten zu sparen. Schwachstellen sollten dabei im Idealfall außen vor bleiben, betonen die Security-Experten bei Veracode, und haben deshalb fünf Verhaltensregeln formuliert.
:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759349/original.jpg "Security-Insider hat am 21. Oktober zum sechsten Mal in Folge die Security-Insider Readers' Choice Awards vergeben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1752700/1752770/original.jpg "Bitte notieren: Am 21. Oktober 2020, ab 15:00 Uhr, erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Security-Insider Award 2020.")
:quality(80)/images.vogel.de/vogelonline/bdb/1479500/1479577/original.jpg "Moderne Security Information und Event Management-Systeme (SIEM) helfen Unternehmen ihre IT-Sicherheit zentral zu überwachen und Risiken so immer im Blick zu halten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1762500/1762502/original.jpg "Die GoldenSpy Malware, ein Interview von Oliver Schonschek, Insider Research, mit Fred Tavas von Trustwave.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759600/1759678/original.jpg "Basierend auf 17 bekannten Schwachstellen hat Orca Security über 400.000 Anfälligkeiten in Virtual Appliances identifiziert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1761300/1761331/original.jpg "Den steigenden Security-Anforderungen durch immer gezieltere Angriffe und neuartige Bedrohungen werden althergebrachte Lösungen nicht mehr gerecht.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759600/1759669/original.jpg "Gebäudeeingang des BSI in Bonn")
:quality(80)/images.vogel.de/vogelonline/bdb/1759600/1759685/original.jpg "Johannes Carl von Ivanti erläutert, was es mit Shift Left und Self-Healing auf sich hat.")
:quality(80)/images.vogel.de/vogelonline/bdb/1760300/1760319/original.jpg "In diesem Tool-Tipp zeigen wir, wie man die Open-Source-Firewall pfSense installiert und konfiguriert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1760200/1760215/original.jpg "Mobilfunkbetreiber und Unternehmen müssen sich proaktiv auf die Anforderungen einer neuen virtualisierten und sicheren 5G-Welt vorbereiten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759600/1759688/original.jpg "CloudGen WAN T93 und CloudGen WAN193 sind schon verfügbar, der Personal-Remote-Zugang soll bis Jahresende folgen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1756000/1756096/original.jpg "Beispiel für den Export der Testergebnisse eines Veracode SAST Pipeline Scans ins SARIF-Format.")
:quality(80)/images.vogel.de/vogelonline/bdb/1756000/1756077/original.jpg "GitHub hat die Funktion „Code Scanning“ allgemein verfügbar gemacht.")
:quality(80)/images.vogel.de/vogelonline/bdb/1754900/1754905/original.jpg "Von Technikern für Techniker: Der Security-Insider Deep Dive ist ein technisch tiefgehender Blick auf eine IT-Security-Lösung; hier die NoSpamProxy Cloud von Net at Work.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759700/1759714/original.jpg "Die Biometrie befindet sich noch am Anfang dessen, was sie in der Lage ist zu leisten, aber ihr Potenzial ist riesig.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759395/original.jpg "Ein CASB ist die Basis für das automatisierte Erkennen gefährlicher Schatten-IT und behält den gesamten Cloud-Verkehr im Unternehmen im Blick.")
:quality(80)/images.vogel.de/vogelonline/bdb/1758600/1758693/original.jpg "Identitätslösungen erleben im Zuge der Digitalisierung einen Boom.")
:quality(80)/images.vogel.de/vogelonline/bdb/1761300/1761366/original.jpg "Sicherheitsrisiken lauern an jeder Ecke, auch dort wo man sie nicht erwartet – zum Beispiel bei Videokonferenzen und Online Meetings.")
:quality(80)/images.vogel.de/vogelonline/bdb/1761200/1761234/original.jpg "Weil das Krankenhaus zum IT-Notfall wurde, mussten Rettungswagen samt Patienten längere Wege bewältigen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1755000/1755036/original.jpg "Was sind die Top Drei auf der Wunschliste von IT-Sicherheitsexperten – und warum eigentlich?")
:quality(80)/images.vogel.de/vogelonline/bdb/1751800/1751850/original.jpg "Der Oktober steht ganz im Zeichen der IT-Sicherheit – und von Halloween.")
:quality(80)/images.vogel.de/vogelonline/bdb/1750800/1750892/original.jpg "Unternehmen müssen sich auf die Grundlagen der Cybersicherheit besinnen und neu überdenken, wie sie ihre Daten schützen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1753900/1753952/original.jpg "Beispiel für den Export der Testergebnisse eines Veracode SAST Pipeline Scans ins SARIF-Format.")
:quality(80)/images.vogel.de/vogelonline/bdb/1734200/1734218/original.jpg "Trotz funktionierender Security-Initiativen wird Code weiterhin mit Schwachstellen in Produktion gebracht.")
:quality(80)/images.vogel.de/vogelonline/bdb/1688700/1688730/original.jpg "Aus kleinen Fehlern in Apps können ernsthafte Sicherheitslücken werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1676500/1676531/original.jpg "Ein DevSecOps-Programm lässt sich nicht einfach aus dem Boden stampfen, es muss mit Bedacht aufgebaut werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1656800/1656805/original.jpg "Julian Totzek-Hallhuber hat drei Prognosen zur Anwendungssicherheit im Jahr 2020 im Köcher.")
:quality(80)/images.vogel.de/vogelonline/bdb/1611900/1611918/original.jpg "Entwickler sollten sicherstellen, dass sie die vier häufigsten Schwachstellen prüfen und gegebenenfalls so gut es geht beheben, bevor es zum Penetrationstest kommt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1611700/1611787/original.jpg "Um mehr vom IT-Budget zu bekommen, müssen Security-Teams richtig an die Entscheidungsträger herantreten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1587600/1587648/original.jpg "Application Security lässt sich am besten durch eine Kombination aus Secure Development und verschiedenen Testing-Methoden erreichen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1578100/1578175/original.jpg "Selbst kleine Anfälligkeiten können große Auswirkungen haben, warnt Veracode und olädiert für eine hohe Fix Rate.")
:quality(80)/images.vogel.de/vogelonline/bdb/1565100/1565132/original.jpg "Die massive Verwendung von Open-Source-Bibliotheken kann Angreifern die Tür ins eigene Netzwerk öffnen.")