Contrast Security erweitert DevSecOps-Plattform um relevante Schwachstellen 10-mal schneller aufzuspüren

Sicherheitstests mithilfe von Pipeline-nativer Codeanalyse durch Contrast Scan sind jetzt mit der Contrast Application Security Platform verfügbar, die dadurch den gesamten DevSecOps-Zyklus abdeckt.

Contrast Security gab die Veröffentlichung von Contrast Scan bekannt, das Static Application Security Testing (SAST) mithilfe von statischer Pipeline-nativer Analyse zur Codeprüfung und Aufdeckung von Schwachstellen möglichst früh im Softwareentwicklungsprozess (SDLC) revolutionieren wird. Contrast Scan weitet die DevSecOps-Fähigkeiten der Contrast Application Security Platform auf den gesamten SDLC aus und ermöglicht bis zu 10-mal schnellere Scans sowie eine bis zu 45-mal schnellere Behebung von Schwachstellen unter Einhaltung sämtlicher Sicherheitsvorgaben eines Unternehmens.

Herkömmliche statische Vorgehensweisen setzen zum Aufspüren von Qualitätsproblemen im Code auf sehr allgemeine Regelsätze. Bei diesem Ansatz von außen nach innen werden riesige Mengen von potenziellen Sicherheitsproblemen aufgezeigt, deren Verwaltung extrem zeit- und ressourcenaufwendig ist. Dies wird zusätzlich verstärkt durch die hohe Anzahl von falsch positiven Meldungen, die die Produktivität einbrechen lassen – in vielen Fällen um über 85 %. Neuere, entwicklerfreundliche Codescanner interpretieren Anwendungssicherheit zu großzügig. Dadurch werden noch mehr falsch positive Meldungen ausgegeben, und Entwicklern fehlt sowohl der Kontext, um Fehler zu priorisieren, als auch die Unterstützung bei deren Behebung. Deshalb halten immer mehr Experten Ausschau nach einem anderen Konzept für Anwendungssicherheit.

Contrast Scan zielt darauf ab, diese Herausforderungen zu bewältigen. Dazu dient ein Pipeline-nativer Ansatz, der deutliche Verbesserungen in Bezug auf Geschwindigkeit, Genauigkeit und Bedienkomfort erzielt, durch die Beseitigung von Effizienzmängeln und Hürden die Release-Zyklen verkürzt und so den digitalen Wandel beschleunigt. Die Einarbeitung in Contrast Scan ist schnell und einfach, da keine Konfiguration erforderlich ist und bereits wenige Mausklicks zu nützlichen Ergebnissen führen. Zudem ist Contrast Scan integraler Bestandteil der Contrast Application Security Platform, sodass Unternehmen in einer einzigen DevSecOps-Plattform über eine einheitliche, entwicklerfreundliche Darstellung von Schwachstellen und Angriffen mit harmonisierten Sicherheitsprofilen verfügen, die SAST, Interactive Application Security Testing (IAST), Schutz und Transparenz von Laufzeitumgebungen mit Runtime Application Self Protection (RASP) sowie Software Composition Analysis (SCA) abdecken.

Die Hauptvorteile von Contrast Scan:

• 10-mal schneller zu relevanten Ergebnissen: Das statische Analysemodul von Contrast Scan basiert auf einem bahnbrechenden, bedarfsorientierten Algorithmus, der Teams in die Lage versetzt, ausnutzbare Schwachstellen aufzudecken, und dabei Schwachstellen, die kein Risiko darstellen, ignorieren zu können. Dadurch beschleunigt Contrast Scan die Ausführung von Scans um das Zehnfache, was Untersuchungen in realen Szenarien belegen. Schnellere Scans beseitigen DevOps-Sicherheitshürden, die der Innovation im Weg stehen. Sie steigern die Effizienz von Sicherheits- und Entwicklungsteams und senken die Betriebsausgaben für Scanvorgänge.
• 45-mal schnellere Wiederherstellung: In Kombination mit den umfangreicheren Fähigkeiten der Contrast-Plattform beschleunigt Contrast Scan die Wiederherstellung um das 45-Fache. Dies ist möglich, weil Entwickler in der Lage sind, sich auf ausnutzbare Schwachstellen zu konzentrieren, Pfade mit Eintrittspunkten anhand von Analysen des Datenverkehrs bei Laufzeit und Produktion zu priorisieren und verwertbare Empfehlungen zur Wiederherstellung zu nutzen. All dies sorgt dafür, dass die Sicherheit an sich verstärkt wird und die Risiken für die Anwendungssicherheit reduziert werden.
• Um 30 % höhere Effizienz bei der Anwendungssicherheit: Durch die Integration von Sicherheitstests mithilfe von pipeline-nativer statischer Codeanalyse in die Contrast Application Security Platform sind Anwendungssicherheitsteams in der Lage, die Effizienz beim Scannen, bei der Triage und bei der Wiederherstellung um bis zu 30 % zu verbessern. Der umfassende DevSecOps-Ansatz von Contrast erhöht die Sicherheit bei schnellen Release-Zyklen, die für moderne Anwendungsentwicklungs- und -bereitstellungsumgebungen typisch sind. Zudem ist der DevSecOps-Zyklus vollständig mit Anwendungstools abgedeckt, die von der Build-Phase bis zum Produktionseinsatz optimiert sind. Dadurch wird auch die Erstellung von Compliance-Berichten gestrafft, sodass die Compliance mit Sicherheitsrichtlinien häufig in Minuten statt Tagen nachgewiesen werden kann.

Moderne Unternehmen sollten nicht gezwungen sein, sich zwischen Geschwindigkeit und Sicherheit zu entscheiden. In Kombination mit Contrast Scan bietet die Contrast Application Security Platform Unternehmen jetzt einen DevSecOps-Pfad zur Absicherung von beliebigen Anwendungen in jeder Umgebung – sei es auf dem Desktop-Rechner eines Entwicklers, in einem Release-Gate oder in Produktionsinstanzen. Die Contrast-Plattform wurde speziell dafür konzipiert, echte DevSecOps mit SCA, Application Security Testing (AST) und Funktionen zur Exploit-Prävention mithilfe von Instrumenten über den gesamten SDLC hinweg bereitzustellen.

„Contrast Scan ist sowohl für Anwendungssicherheitsteams als auch für Anwendungsentwicklungsteams bahnbrechend“, sagt Steve Wilson, Chief Product Officer bei Contrast Security. „Es bietet Teams schon in der frühen Entwicklungsphase bisher unerreichte Einblicke in die Bedrohungslandschaft für ihre Anwendungen – ohne das Grundrauschen der herkömmlichen statischen Scantools. Dadurch sind die Anwendungen von Unternehmen langfristig sicher, während die Agilität ihrer Entwicklungsteams erhalten bleibt.“

Weitere Informationen zu Contrast Scan finden Sie auf der Contrast Scan-Website.