DevOps Security in der Web-Entwicklung


DevOps Security bedeutet, dass in modernen Entwicklungsumgebungen Sicherheitsprozesse nicht nur punktuell, sondern fest in die Softwareentwicklung eingebunden werden. Sicherheitsprozesse dürfen Entwicklungsprozesse nicht blockieren und müssen sich in die bestehenden Toolchains und Umgebungen integrieren.


DevOps Security


Kontinuierliche Sicherheit

Progressive Entwicklungsumgebungen zeichnen sich vor allem durch extrem kurze Release-Zyklen aus. Wer in solchen Umgebungen nur punktuell und in weiten Zeitabständen konventionelle Penetrationstests, kurz Pentests, durchführt, läuft Gefahr, prozessbedingt schwerwiegende Schwachstellen zu “übersehen”.

“In the past 12 months alone, we had 50M deployments to development, testing, and production hosts.”

Werner Vogels (CTO - Amazon)

In einer hochdynamischen Produktionsumgebungen ist Automatisierung der Schlüssel zum Erfolg. Viele Themen des Entwicklungsprozesses werden schon seit vielen Jahren durch Automatisierungslösungen durchgeführt. Durch unsere Lösungen können nun auch Sicherheitsprozesse Ihrer Softwareentwicklung automatisiert und in moderne Toolchains, CI-Systeme und Bug-Tracking-Plattformen integriert werden.

Trinität der Web-Security

Sicherheit für Web-Anwendungen lässt sich in progressiven Entwicklungsumgebungen durch die folgenden drei Elemente abbilden: Konventionelle Pentests, automatisierte Schwachstellenscans und Bug-Bounty-Programme. Auch wenn konventionelle Pentests heutzutage nicht mehr allein für verlässliche Schwachstellen-Identifikation in Web-Anwendungen genutzt werden können, sind sie trotzdem aus progressiven Sicherheitskonzepten nicht wegzudenken. Durch die Ergebnisse aus den automatischen Schwachstellenscans reduziert sich der Aufwand und gibt den Pentestern mehr Zeit um sich auf identifikationsintensive Schwachstellen zu konzentrieren. Für zusätzliche Funde sollte ein Bug-Bounty-Programm betrieben werden, mit dem Kompetenzen “crowd-sourced” werden.

DevOps-Security-Trinität der Web-Sicherheit

Security-As-A-Service

Wir bieten Ihnen mit unseren Leistungen vollumfängliche integrierte Sicherheitslösungen für Ihren Entwicklungsprozess. Dieser DevOps-Security-Service stellt sicher, dass alle sicherheitsrelevanten und nicht sicherheitsrelevanten Daten allen Stakeholder zugänglich gemacht werden, die mit den Prozess in Verbindung stehen. Unsere Experten betreuen Sie von der Einrichtung von Scan-Routinen bis zur Auswertung der Ergebnisse und der Implementierung von Gegenmaßnahmen.

Unsere Cloud-Plattform bietet umfangreiche Dashboard-, Reporting und Verwaltungsfunktionen.

Unser Web-Security-Scanner

Unser Entwicklungs- und Forschungsteam hat unsere langjährige Erfahrung in den Bereichen Pentesting und Security-Engineering genutzt, um eine Web-Security-Suite zu entwickeln, die in der Lage ist auch komplexeste Schwachstellen zu identifizieren. Identifizierte Schwachstellen werden automatisch in das in Ihrem Unternehmen genutzte Bug-Tracking-System übertragen, damit Ihr Entwicklungsteam sofortige Gegenmaßnahmen treffen kann.

  • Schwachstellenanalyse nach OWASP Top 10 bzw. OWASP Testing Guide v5
  • Integration der führenden CI-Pipelines, Bug-Tracking-Plattformen, Quelltextverwaltungen und Chat-Systemen
  • Managed Service: Unsere Experten unterstützen Sie bei False-Positives, Maßnahmen und Implementierung

Web-Sicherheit Integration

Testumfang

Unsere Web-Security-Scanner-Lösung ist in der Lage, Schwachstellen aus allen Kategorien der OWASP Top 10 sowie des OWASP Testing Guides v5 zu identifizieren:

  • Informationssammlung
  • Konfigurationsmanagement
  • Sessionmanagement
  • Fehlerbehandlung
  • Identitätsmanagement
  • Authentifizierung
  • Berechtigungen
  • Eingabevalidierung
  • Kryptographie
  • Geschäftslogik
  • Benutzerseitige Schwachstellen
  • APIs
  • Patchmanagement

Integration

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link um einen Termin auszuwählen:

 Termin vereinbaren