Veracode revolutioniert Cloud-native Sicherheit mit einem neuen dynamischen Duo: DAST Essentials und Veracode GitHub App

The Next Frontier: DAST Essentials
Webanwendungen sind für 60 Prozent der Sicherheitsverletzungen verantwortlich¹ und API-Angriffe stiegen bis 2022 um 137 Prozent an.² Daher ist es von größter Bedeutung, dass Cloud-native Anwendungen ausreichend geschützt und kontinuierlich überwacht werden. Dynamisches Scannen analysiert in Echtzeit laufende Webanwendungen mit realen Angriffsmethoden in einer sicheren Umgebung und kann in einer Vorproduktionsumgebung – innerhalb des SDLC – durchgeführt werden. Herkömmliche punktuelle Lösungen können das nicht und bieten oft nicht die Skalierbarkeit und Flexibilität, die Unternehmen mit wachsendem Software-Bedarf benötigen. Im Gegensatz dazu ist DAST Essentials von Veracode eine flexible Lösung, die es Entwicklern und Sicherheitsteams ermöglicht, Risiken einfach, schnell und in großem Umfang anzugehen.

"Da Unternehmen weiterhin mit der Herausforderung zu kämpfen haben, eine immer größer werdende Angriffsfläche zu sichern, ist der Bedarf an umfassenden Lösungen unbestreitbar. Der Spagat zwischen Entwicklungsgeschwindigkeit und robuster Sicherheit ist eine gewaltige Aufgabe, die durch die zeitaufwändige Natur regelmäßiger dynamischer Scans und die fehlende Verbindung zwischen Entwicklungs- und Sicherheitsteams erschwert wird", sagt Katie Norton, Senior Research Analyst, DevOps und DevSecOps, bei IDC. "Lösungen wie Veracode DAST Essentials, die integriert sind und die Reibungsverluste für Entwickler reduzieren, tragen dazu bei, die Entwicklung sicherer Software zu beschleunigen, die Abhilfemaßnahmen zu vereinheitlichen und Unternehmen in die Lage zu versetzen, ihre Abwehrkräfte in der sich entwickelnden Cybersicherheitslandschaft zu stärken."

Die False-Positive-Raten von Veracode DAST Essentials liegen nach Angaben von Kunden unter fünf Prozent. Die Lösung scannt und testet mehrere Webanwendungen und APIs (Application Programming Interfaces) gleichzeitig. Der State of Software Security-Report von Veracode zeigt, dass 80 Prozent der Webanwendungen kritische Schwachstellen aufweisen, die nur durch dynamisches Scannen identifizierbar sind. Dies unterstreicht die entscheidende Rolle, die DAST (Dynamic Application Security Testing) in einem robusten Anwendungssicherheitsprogramm spielt, um sicherzustellen, dass Unternehmen Schwachstellen in Cloud-nativer Software präzise und schnell beheben können.

Der Spezialist für Supply-Chain-Lösungen, Manhattan Associates, entschied sich für eine Partnerschaft mit Veracode für sein dynamisches Analyse- und Cloud-native Sicherheitsprogramm. Rob Thomas, Executive Vice President, Research & Development and Cloud Operations bei Manhattan Associates, sagt: "Veracodes langjährige Erfahrung in der Branche und die Tatsache, dass sie Cloud-basiert arbeiten, bedeutet, dass sie kontinuierlich Innovationen bereitstellen können. Mit einer Cloud-nativen Lösung wie von Veracode scannen wir unsere Software kontinuierlich und haben in Echtzeit die Gewissheit, dass unsere Anwendungen so sicher wie möglich sind."

Verbesserte Arbeitsabläufe für Entwickler: Veracode GitHub App
Veracode kennt die Herausforderungen, denen sich Entwickler bei der Einführung von Cloud-nativen Sicherheitsmaßnahmen stellen müssen, ohne ihre Arbeitsabläufe zu unterbrechen. Die Veracode GitHub App erleichtert Entwicklern den Einsatz von Sicherheitsmaßnahmen. Sicherheitsteams konfigurieren diese nur einmal und können Entwickler nahtlos einbinden. Diese Integration ermöglicht es Entwicklern, Code in den Umgebungen, in denen sie arbeiten, schnell zu korrigieren – mit einem einzigen Tool für statische, Software Composition Analysis (SCA) und Container Security Scanning. Das Ergebnis ist ein schnellerer, reibungsloser Entwicklungsprozess, der die Sicherheit nicht beeinträchtigt.

Verbessertes Repo-Scanning
Das erstmalige Scannen von Cloud-nativen Anwendungen ist oft ein manueller, komplexer und frustrierender Prozess. Die Veracode GitHub App vereinfacht diesen Prozess, indem sie Entwicklern Scan-Ergebnisse in ihrer bevorzugten Umgebung liefert. DevOps-Teams können Repositories einfach und ohne manuelle Einrichtung einbinden, wodurch die Entwicklungsgeschwindigkeit aufrechterhalten und die Scan-Prozesse rationalisiert werden. Mit der Möglichkeit, Scan-Konfigurationen für Hunderte von Repositories mit einem einzigen Klick zu standardisieren, können DevOps-Teams Reibungsverluste reduzieren und Cloud-native Sicherheit viel früher in den Entwicklungszyklus integrieren.

Bedeutung der Akzeptanz von Sicherheitstools
Laut einer aktuellen Studie des Analystenhauses IDC ist für 84 Prozent der Unternehmen die Akzeptanz von Sicherheitstools durch die Entwickler die "wichtigste Voraussetzung" oder eine "sehr wichtige Voraussetzung" bei der Einführung von DevSecOps.³ Die jüngsten Innovationen von Veracode definieren den Ansatz zur Absicherung von Cloud-nativen Anwendungen während des gesamten SDLC neu und unterstreichen das Engagement des Unternehmens, eine einheitliche Plattform für ein umfassendes Sicherheitsrisikomanagement bereitzustellen.

Brian Roche, Chief Product Officer bei Veracode, sagt: "Entwickler stehen unter einem immensen Druck, Innovationen schnell zu entwickeln und greifen oft auf Mechanismen wie LLMs und Open Source zurück, um den Prozess zu beschleunigen. Leider kann dieser Ansatz dazu führen, dass unsicherer Code verwendet wird und Lösungen entstehen, die Sicherheitsrisiken eher verschlimmern, als sie zu mindern. Verschärft wird die Situation durch Sicherheitstools, die die Komplexität eher erhöhen als vereinfachen.

Veracode geht diese Herausforderung an, indem es eine einheitliche Plattform bereitstellt, die nicht nur Risiken überwacht und mindert, sondern auch die Arbeitsabläufe von Entwicklern über Repositories, IDEs und die Cloud hinweg optimiert. Durch die Bereitstellung von entwicklerfreundlichen Sicherheitstools versetzen wir Unternehmen in die Lage, sichere Software schneller bereitzustellen, ohne Kompromisse zwischen Sicherheit und Geschwindigkeit eingehen zu müssen. Die Gewährleistung der Sicherheit von Cloud-nativen Anwendungen war noch nie so wichtig wie heute. Entwickler setzen den Code genauso zusammen, wie sie ihn schreiben, was bedeutet, dass selbst die sorgfältigsten Anwendungen anfällig für Bedrohungen sind. Um die Software-Lieferkette zu schützen, braucht es in der modernen Anwendungsentwicklung einen Paradigmenwechsel in der Sicherheitspraxis. Da sich verteilte Cloud-App-Entwicklungsmethoden durchsetzen, zeigen unsere jüngsten Produktinnovationen, dass Veracode die dynamische Natur der Cloud-Native-Landschaft nutzt, um bei der Sicherung unserer digitalen Zukunft die Führung zu übernehmen."

Diese Ankündigung folgt auf die Markteinführung der KI-gestützten Remediation-Engine Veracode Fix Anfang des Jahres, die als eines der 20 besten Cybersecurity-Produkte und interessantesten Lösungen auf der RSA Conference 2023 ausgezeichnet wurde.

Veracode auf der AWS re:Invent
Die neuen Lösungen von Veracode werden auf der AWS re:Invent 2023 vom 27. November bis 1. Dezember in Las Vegas an Stand Nr. 270 vorgestellt.

¹ Verizon, “2023 Data Breach Investigations Report,” Juni 2023
² Akamai, State of the Internet (SOTI) report, April 2023
³ IDC, “DevSecOps Adoption, Techniques, and Tools Survey, 2023,” Katie Norton and Jim Mercer, Mai 2023