Software Code Analysis

Software Code Analysis

Anwendungen – Motor für Innovationen und #1-Angriffsvektor für Cyberangriffe

Jede Organisation hat heutzutage mindestens eine Applikation – ihre eigene Webseite aber oft auch interne Anwendungen. Immer schnellere Innovationszyklen erfordern immer schnellere Release-Zyklen in der Softwareentwicklung. Dazu gehören sowohl Entwicklung eigener Software, Mitbenutzen von Open-Source Software sowie Umsetzung externer Software. Wer und wie garantiert, dass die finale Softwareversion für den Einsatz nicht nur einwandfrei funktioniert, sondern auch die Sicherheitsanforderungen erfüllt? Es ist kein Geheimnis, dass die Anwendungsschicht den häufigsten Angriffsvektor darstellt.

Eine statische oder dynamische Überprüfung auf Schwachstellen ist ein wichtiger Schritt Angriffsvektoren in den Anwendungen frühzeitig zu erkennen. Es wird getestet wie sicher die Anwendungen von Innen und Außen aus Sicht des Angreifers sind. Am besten bevor die Anwendung in die Produktionsumgebung kommt und angreifbar wird. Änderungen an dem Code können dann nicht mehr einfach vorgenommen werden.

Unsere Leistungen - Klicken und hier MEHR erfahren!

Was uns unterscheidet:

Wir sehen Application-Scans nicht als Ziel, sondern als Schritt den SDLC (Software Development Lifecycle)-Prozess zu verbessern. Dementsprechend sind wir bereit, auch Ihre bestehenden Prozesse zu prüfen und auf Schwachstellen hinzuweisen. Bei dem Application-Scan können wir Sie begleiten oder die Aufgabe komplett in der Cloud für Sie übernehmen. Wir helfen Ihnen, die Ergebnisse zu interpretieren und sich auf das Wichtigste zu konzentrieren.

Dank unserer umfangreichen Erfahrung mit anderen Sicherheitsprodukten und eigener Entwicklungsaktivität, wie agileSI™, verfügen wir über die passenden Integrations-Tipps für Ihre Umgebung.

Vorteile der statischen & dynamischen Analyse:

  • interne, gemischte aber auch externe Anwendungen und deren Komponenten können erkannt und geprüft werden
  • Korrelation der Ergebnisse von einem statischen und dynamischen Scan
  • statische Scans können nicht als Source-Code, sondern auch als Binärcode ausgeführt werden
  • neue/unbekannte Webanwendungen regelmäßig mittels Discovery finden und damit ein aktuelles Inventar haben
  • Third-Party-Security – externe Anwendungen werden direkt mit dem Hersteller geprüft und die Ergebnisse mit dem Kunden geteilt

Warum Software Code Analysis?

Für den CISO:

Wie kann ich den häufigsten Angriffsvektor auf günstigste und effizienteste Weise bekämpfen?

Die Anwendungen und deren Umgebung werden oft in den IT-Sicherheits-Audits von Externen geprüft. Scannen der Anwendungen, die die Organisation nutzt, stellt sicher, dass die Sicherheitslücken noch vor den Augen von Dritten entdeckt werden. Es ist am günstigsten und am effizientesten, wenn die Schwachstellen in der Coding-Phase entdeckt werden, wenn sie noch am schnellsten behoben werden können.

Wird unsere Anwendungssicherheit besser, bleibt sie konstant oder wird sie sogar schlechter?

Software-Assurance-Programme und Dashboards dienen dazu, die Trends im Griff zu haben. Eine zentrale Richtlinie kann die Einheitlichkeit der Tests garantieren.

Für den IT-Security Manager:

Wie kann ich meine Anwendungen am besten testen?

Entwicklung eines Testing-Prozesses, der die bestehenden Abhängigkeiten und Umgebungen reflektiert.

Habe ich den Überblick, welche Anwendungen intern sind, und welche davon externe, Open-source und proprietäre Komponenten enthalten?

Software Composition Analysis als Integration von externen Tools oder als Service in der Cloud, wo die bekannten Schwachstellen direkt ermittelt werden.

Was kann ich an unserem SDLC (Software Development Lifecycle)-Prozess optimieren, inwieweit ist Sicherheit ein Bestandselement?

Workshop als Input und Program Management in dem man den Prozess optimiert. Klare Rollen im Spiel – Auditoren, Compliance, Entwickler, Management, Endbenutzer.

Wann wird die Sicherheit in SDLC erstens vorgestellt?

  • Workshop
  • Security Awareness

Wie berechenbar ist der Ablauf eines dynamischen Scans?

  • manuelle und automatisierte Teile
  • zusammen die ersten Scans durchführen

Für den CIO:

Was ist der Aufwand, wenn wir unsere Anwendungen gleichzeitig funktionsreich und sicher haben möchten, ohne die gegebene Planung zu gefährden?

  • Security Awareness für die Beteiligten; verschiedene Service-Levels mit variabler Unterstützung
  • Cloud-Dienste

Werden neue Ressourcen gebraucht, falls ja, können wir es uns leisten oder überlassen wir es den Experten in der Cloud?

Cloud oder on-Premise (bei den beiden Möglichkeiten kann Program Management als Dienstleistung angeboten werden)

Wie viele Webanwendungen haben wir insgesamt und wo?

  • Application Inventory von Webanwendungen ständig aktuell halten

Für den Developer:

Wie schätze meine Kenntnisse im Bereich Secure Coding und Design der Anwendungen ein?

  • Security Awareness Trainings
  • statische Scans durch Developer

Wie kann ich sie nachweisen oder testen, ohne dass es meine übliche Entwicklungs- und Testing-Phase markant beeinflusst?

  • Integration des statischen Scans in die Entwicklungsumgebung inklusive Remediation
  • Integration des statischen Scans in den Build-Prozess und Continuous-Integration
  • editierbare Berichte mit nachweisbaren Ergebnissen

Kann ich meine Anwendungen selbst testen und die Ergebnisse sehen?

  • DE-Scanning-Plugins
  • einfache Kollaboration mit anderen Teams

Wir haben mehr zu bieten...

Erfahren Sie mehr zu unseren Produkten rund um das Thema Software Code Analysis:

Volle Kontrolle und Flexibilität über Ihren Application-Security-Testing-Prozess

Viele Kunden möchten die volle Kontrolle über die Sicherheitsprüfung Ihrer Anwendungen und die  Möglichkeit Ergebnisse der dynamischen und statischen Tests korrelieren zu können haben – sei es vor Ort oder/und in der Cloud. Diese haben eigene oder externe Entwickler entwickelt und Sie möchten wissen, wie hoch das Risikopotenzial ist, eine Anwendung von innen und außen anzugreifen.

Die Applikationslandschaft kann oft mehrere Programmiersprachen beinhalten, die gleichzeitig betrachtet werden sollten, damit das Risiko genauer bewertet werden kann.

Wenn volle Kontrolle, dann auch volle Flexibilität bei der Konfigurierung von Scannen von großen Anwendungen, wie z.B. eigene Regeln einbauen, Scan aufteilen, eigene Reports erstellen und nicht relevante Probleme nur einmal markieren.

SDLC (Software Development Lifecycle) ist aber auch ein Zyklus, in dem viele Beteiligte involviert sind, die mithilfe von Plattform effizient zusammenarbeiten können.

Des Weiteren sind umfangreiche Integrationsmöglichkeiten aber auch Anpassungen der Lösung auf Kundenwünsche wichtig, denn jede Firma hat eine spezifische Umgebung und Prozesse und möchte ihre externe Software auch weiter nutzen.

Kurz und knapp:

  • volle Kontrolle über die Sicherheitsprüfung
  • Korrelation verschiedener Tests
  • Unterstützung von verschiedenen Plattformen und Programmiersprachen
  • Collaboration-Plattform für diverse Teams
  • Integrationsmöglichkeiten
  • Lösungsanpassungsmöglichkeiten

Funktionsweise

Die Lösung ermöglicht es, die statischen und dynamischen Scans vor Ort oder in der Cloud auszuführen. Der statische Scanner beinhaltet hunderte Regeln. Neue Regeln können jedoch definiert werden.

Die Scans können z.B. direkt auf dem Build-Server durchgeführt werden, um Continuous-Integration (CI) zu unterstützen. Die Ergebnisse lassen sich zu einem Server hochladen, welcher als Sharing & Collaboration-Plattform fungiert.

Es können diverse Web-, Desktop-, Server- aber auch Webanwendungen mittels statischem Scan gescannt werden. Die dynamische Analyse ist für Web- und Mobilanwendungen einsetzbar.

Andere interessante Features:

  • parallel scannen
  • Korrelation zwischen statischer, dynamischer und Real-time-Analyse
  • eigene Regeln und Richtlinien erstellen
  • vorgegebene Testing Frameworks und Berichte

Die Architektur einer vollständigen und trotzdem modularen Lösung für Application Security-Testing und Absicherung:

  • HP Fortify SCA (Static code analyzer) dient der statischen Analyse (SAST)
  • HP WebInspect für dynamische Analyse und damit verbundenen Interactive-Analyse (IAST) mit HP Fortify Webinspect Agent
  • HP Fortify Runtime Agent (HP Application Defender), um die .NET und JAVA Anwendungen in der Produktionsumgebung zu schützen
  • HP Fortify SSC (Software Security Center) verwaltet alle Komponenten und dient als Kollaborations-Tool

Zusätzlich kann folgendes eingesetzt werden:

  • HP Fortify Governance Module, um ein Software Security Assurance (SSA)-Programm zu implementieren

Warum HP Fortify?

Ein statischer Scan von HP Fortify kann folgende Risiken betrachten:

  • Schwachstellen in externen Komponenten der Anwendungen
  • Backdoors in dem Quellcode erkennen
  • Abgleich gegen gängigste Schwachstellen wie OWASP TOP 10, CWE/SANS TOP 25

 Ein dynamischer Scan von HP WebInspect kann folgende Risiken betrachten:

  • Schwachstellen in der Umgebung außerhalb der Anwendung
  • Netzwerkkommunikation und Web Services auf Sicherheit überprüfen
  • Webattacken simulieren

Andere Vorteile der Lösung:

  • Die Entwickler könnten dank IDE-Integration selbst den Code scannen und Schwachstellen analysieren
  • Die Lösung ist sehr umfangreich und lässt sich mit anderen Sicherheitskomponenten integrieren:
  • SIEM-Integration mit HP Fortify Application View, wo das Runtime in SIEM überwacht wird, ohne die Logs erstellen zu müssen
  • Web Application Firewall lässt sich gut integrieren
  • Bei mobilen Anwendungen besteht die Möglichkeit mit MDM (Mobile Device Management) zu integrieren

Warum iT-CUBE?

Wir können beraten, wie der Kunde die Anwendung vom Anfang (Development) bis zu Release (Protect) testen, verbessern und absichern kann – auch mit anderen Themen wie Vulnerability Assessment, WAF oder Realtime Protection.

  • Security-Konzept und Beratung aus einer Hand
  • iT-CUBE hat eigene Entwickler, die ein SAP-Security-Produkt entwickeln – agileSI™, wir sind keine Theoretiker!

Beispielreferenzen

Datasheet HPE Fortify

Andere Lösungen im Bereich Software Code Analysis:

Das könnte Sie auch interessieren...

Integration mit

Schneller Überblick über die Sicherheitslage Ihrer Anwendungen

Heutzutage haben viele Organisationen viel Stress mit Deadlines von neuen Releases der Anwendungen. Des Weiteren haben sie keine Ressourcen, um eine Testumgebung zum Scannen zu installieren, Scans zu testen, tunen und auszuführen. Diese Organisationen möchten ohne größeren initialen Aufwand schnell und mühelos die Ergebnisse haben, aber trotzdem möglichst wenig sensitive Informationen wie Quellcode mit Externen teilen. Nach den Scans brauchen sie Hilfe, um die Ergebnisse schnell und richtig zu interpretieren und priorisieren, vor allem nach den ersten Scans. Sie möchten aber trotzdem die Trends, Geschichte und benutzerfreundliche Dashboards benutzen, als ob die Software vor Ort getestet wurde. Was auch hilfreich ist, ist eine Plattform zu haben, wo die Ergebnisse verschiedener Teststufen integriert sind, sei es ein einfacher und schneller dynamischer Scan oder statische Analyse. Veracode kann das alles und noch viel mehr erfüllen.

Lösung der Kernprobleme bei Veracode
Lösung der Kernprobleme bei Veracode

 

 

Kernproblem

Ansatz von Veracode

Wie viele Webanwendungen habe ich und wo sind sie?

Veracode Discovery

IP-Range wird von dem Kunden geliefert und folgendes gesucht:

Domains, hostnames, webservers

Ich möchte schnell meine größten externen Risiken kennen und einen Baseline Scan ausführen

Veracode Dynamic MP

Grundlegender und schneller Scan

Ich möchte umfangreiche Informationen über meine Risiken von kritischen Webanwendungen bekommen

Veracode Deep Scan

Tiefer automatisierter Scan ergänzt mit Penetrationstest und einer manuellen Review

Ich möchte meine oder externe Software auf Software-Sicherheit prüfen.

Veracode Static Scan

Statischer Scan von dem Binärcode

Ich möchte auch wissen, welche und wie viele third-party components, bzw. Open-source Software enthalten meine Anwendungen.

Veracode Software Composition Analysis

Übersicht von externen Komponenten und bekannten Schwachstellen mit Beratung

Ich möchte meine oder externe Mobilanwendung testen – Verhalten, Reputation, Quellcode

Veracode Mobile application Risk Scan (MARS)

Scan und Bewertung der Reputation

Ich möchte, dass meine Lieferanten vorzeigen, dass die von ihnen entwickelte Applikation sicher ist. Ich möchte mich um den Prozess nicht kümmern.

Veracode Vendor Application Security Testing (VAST)

Veracode + Lieferant (der Dritte) werten die Anwendung aus und die Ergebnisse erhält der Benutzer der Anwendung

Ich möchte, dass unsere Entwickler ihre Security Awareness verbessern und auf sichere Weise entwickeln

E-Learnings in der Plattform oder Live Trainings

Viele thematische Trainings

Ich möchte, dass jemand unsere Prozesse in SDLC optimiert.

Security Program Manager (iT-CUBE/Veracode)

Funktionsweise

Wichtige Features (granularer als bei Kernproblem):

  • Accuracy: Nur der kompilierte Code und die mitkompilierten Libraries werden gescannt
  • Scalability: Dank der performanten Cloud; schnelle Ergebnisse sind garantiert
  • Remediation Guidance: Experten sind bereit, bei Remediation zu unterstützen und so die Kosten für interne Sicherheitsexperten zu senken
  • Ease of Use: Plugins + moderne GUI in der Weboberfläche
  • regelmäßige Updates: Jeden Monat neue Updates und Verbesserungen
  • keine initialen Kosten: Keine Hardware oder Software muss installiert werden
  • Einheitlichkeit: Alle Scans haben standardmäßig die gleiche Konfiguration
  • zentrale Richtlinie: Alle Anwendungen können nach einer Richtlinie gescannt werden – seien es eigene oder externe Softwarekomponenten. Vorgegebene Richtlinien helfen bei der Auswahl. 

Wie funktioniert die Lösung?

Die Lösung ist modular und kann verschiedene Kundenwünsche reflektieren (wie oben bei Kernproblemen erwähnt).

  • Modul: Application Discovery: IP-Range wird von dem Kunden geliefert und folgendes gesucht: Domains, hostnames, webservers
  • Modul: Veracode Dynamic MP Scan: Schnell für wenig kritische Anwendungen: Schnelle Übersicht, wo die größten und klarsten Sicherheitslücken in der Webanwendung von außen liegen
  • Modul: Veracode Deep Scan: Detailliert für kritische Anwendungen: Wo die Sicherheitslücken in der Webanwendung sind
  • Modul: Manual Penetration Testing Service: Ergänzt SAST und automatischen DAST
  • Modul: Veracode Static Scan: Statische Analyse der Anwendung in der Cloud
  • Modul: Veracode Mobile application Risk Scan: Analyse einer mobilen Anwendung, die auf Reputation, Verhalten und Quellcode basiert
  • Modul: E-Learnings: Security Awareness verbessern
Veracode Funktionsmodule
Veracode Funktionsmodule

Warum Veracode?

Ein statischer Scan mit Veracode kann folgende Risiken betrachten:

  • Externe Komponenten der Anwendungen erkennen und deren bekannte und unbekannte Schwachstellen ermitteln
  • Quellcode schützen, denn nur Binärcode wird hochgeladen
  • Vergleich gegen gängigste Schwachstellen wie OWASP TOP 10, CWE/SANS TOP 25 mit einer anpassbaren Richtlinie

Ein dynamischer Scan mit Veracode kann folgende Risiken betrachten:

  • Schwachstellen in der Umgebung außerhalb der Anwendung testen (kann von außen oder innen durchgeführt werden)
  • Netzwerkkommunikation, Client-Software und Web Services auf Sicherheit überprüfen
  • Webattacken simulieren – automatisch und manuell

Andere Vorteile der Lösung:

  • Die Entwickler können dank IDE-Integration selbst den Code scannen und Schwachstellen analysieren
  • Die Lösung ist sehr umfangreich und lässt sich mit anderen Sicherheitskomponenten wie SIEM oder Web-Application-Firewall gut integrieren

Warum iT-CUBE?

Als Dienstleister:

  • Helfen wir Ihnen bei der Integration;
  • Helfen wir den Remediation-Prozess zu optimieren und erklären bei der Review die Ergebnisse
  • Verbessern wir den SDLC-Prozess auf seine Sicherheitsweise

Der letzte Punkt ist ein langer Prozess und iT-CUBE ist mit Veracode bereit, kompetente, technische und prozessorientierte Consultants anzubieten.

Datasheet

Datasheet Veracode

Andere Lösungen im Bereich Software Code Analysis: