Agile Web-Security in modernen Entwicklungsumgebungen


Agile Security bedeutet in modernen Entwicklungsumgebungen, dass Sicherheitsprozesse nicht nur punktuell, sondern fest in die Softwareentwicklung eingebunden werden. Sicherheitsprozesse dürfen Entwicklungsprozesse nicht blockieren und müssen sich in die bestehenden Toolchains und Umgebungen integrieren.

Kontinuierliche Sicherheit

Progressive Entwicklungsumgebungen zeichnen sich vor allem durch extrem kurze Releasezyklen aus. Wer in solchen Umgebungen nur punktuell und in weiten Zeitabständen konventionelle Penetrationstest durchführt, läuft Gefahr, prozessbedingt schwerwiegende Schwachstellen zu “übersehen”.

“In the past 12 months alone, we had 50M deployments to development, testing, and production hosts.”

Werner Vogels (CTO - Amazon)

In einer hochdynamischen Produktionsumgebungen ist Automatisierung der Schlüssel zum Erfolg. Viele Themen des Entwicklungsprozesses werden schon seit vielen Jahren durch Automatisierungslösungen durchgeführt. Durch unsere Lösungen können nun auch Sicherheitsprozesse Ihrer Softwareentwicklung automatisiert und in moderne Toolchains, CI-Systeme und Bug-Tracking-Plattformen integriert werden.

Trinität der Web-Security

Sicherheit für Web-Anwendungen lässt sich in progressiven Entwicklungsumgebungen durch die folgenden drei Elemente abbilden: Konventionelle Penetrationstests, automatisierte Schwachstellenscans und Bug-Bounty-Programme. Auch wenn konventionelle Penetrationstests heutzutage nicht mehr allein für verlässliche Schwachstellenidentifikation in Web-Anwendungen genutzt werden können, sind sie trotzdem aus progressiven Sicherheitskonzepten nicht wegzudenken. Durch die Ergebnisse aus den automatischen Schwachstellenscans reduziert sich der Aufwand und gibt den Penetrationstestern mehr Zeit um sich auf identifikationsintensive Schwachstellen zu konzentrieren. Für zusätzliche Funde sollte ein Bug-Bounty-Programm betrieben werden, mit dem Kompetenzen “crowd-sourced” werden.

trinity of web security.jpg

Security-As-A-Service

Wir bieten Ihnen mit unseren Leistungen vollumfängliche integrierte Sicherheitslösungen für Ihren Entwicklungsprozess. Unsere Experten betreuen Sie von der Einrichtung von Scan-Routinen bis zur Auswertung der Ergebnisse und der Implementierung von Gegenmaßnahmen.

Unsere Cloud-Plattform bietet umfangreiche Dashboard-, Reporting und Verwaltungsfunktionen.

Unser Web-Security-Scanner

Unser Entwicklungs- und Forschungsteam hat unsere langjährige Erfahrung in den Bereichen Pentesting und Security-Engineering genutzt, um eine Web-Security-Suite zu entwickeln, die in der Lage ist auch komplexeste Schwachstellen zu identifizieren. Identifizierte Schwachstellen werden automatisch in das in Ihrem Unternehmen genutzte Bug-Tracking-System übertragen, damit Ihr Entwicklungsteam sofortige Gegenmaßnahmen treffen kann.

  • Schwachstellenanalyse nach OWASP Top 10 bzw. OWASP Testing Guide v5
  • Integration der führenden CI-Pipelines, Bug-Tracking-Plattformen, Quelltextverwaltungen und Chat-Systemen
  • Managed Service: Unsere Experten unterstützen Sie bei False-Positives, Maßnahmen und Implementierung

Testumfang

Unsere Web-Security-Scanner-Lösung ist in der Lage, Schwachstellen aus allen Kategorien der OWASP Top 10 sowie des OWASP Testing Guides v5 zu identifizieren:

  • Informationssammlung
  • Konfigurationsmanagement
  • Sessionmanagement
  • Fehlerbehandlung
  • Identitätsmanagement
  • Authentifizierung
  • Berechtigungen
  • Eingabevalidierung
  • Kryptographie
  • Geschäftslogik
  • Benutzerseitige Schwachstellen
  • APIs
  • Patchmanagement

Integration