Contrast Security erweitert seine Plattform um Python-Unterstützung

Contrast Security erweitert mit Python seine AppSec-Plattform und stellt damit die einzige Interactive-Application-Security-Testing-Lösung (IAST) mit Python-Unterstützung bereit. Da Python eine dynamische Programmiersprache ist, muss der Code während der Laufzeit getestet werden, damit die Anwendungssicherheit genau und effektiv gewährleistet wird. Bisherige Lösungen für Sicherheitstests können Sicherheitslücken in Python-basierten Anwendungen jedoch nicht genau oder erst spät lokalisieren. Contrast Security automatisiert die Identifizierung von Schwachstellen und die Überprüfung der Abhilfemaßnahmen, indem kontinuierlich laufende Anwendungen über Datenflüsse getestet werden. Der Agent von Contrast beginnt mit der Sicherung von Code, indem er dem gesamten Software-Stack Sensoren hinzufügt. Contrast Assess überwacht den gesamten Code (einschließlich Bibliotheken) und liefert genaue Ergebnisse, ohne dass AppSec-Teams für manuelle Tests, Recherchen und Abhilfemaßnahmen eingesetzt werden müssen.

So hilft der Contrast-Python-Agent für Contrast Asses, Schwachstellen schon früh im Softwareentwicklungszyklus zu entdecken, wenn Korrekturen noch einfacher und kostengünstiger durchgeführt werden können. Da die Contrast-Plattform versionsunabhängig ist, schützt sie außerdem sowohl Python 2 als auch Python 3 – so können Entwickler die Umstellung auf das Upgrade in ihrem eigenen Tempo vornehmen und gleichzeitig gewährleisten, dass ihr Code sicher ist.
 
„Python ist als stabile und zuverlässige Programmiersprache für Anwendungen auf Unternehmensebene weit verbreitet. So wird sie beispielsweise von Netflix verwendet, um Videos in mehr als 100 Millionen Haushalte weltweit zu streamen und die NASA bei der Weltraumforschung zu unterstützen. Python-Entwickler haben jedoch besondere Herausforderungen, wenn es um die Sicherheit geht. Die Wurzel des Problems liegt in der Tatsache, dass Python im Gegensatz zu statischen Sprachen wie Java eine dynamische Sprache ist”, berichtet Justin Leo, Technical Product Manager für Java und Python bei Contrast Security. „In statischen Sprachen werden Variablen Typen zugewiesen. Da Python jedoch dynamisch ist, wird der Variablentyp in der Anwendung erst zur Laufzeit bestimmt. Anschließend muss Python Code während der Laufzeit evaluiert werden. Und das können herkömmliche Tests – wie statische Anwendungssicherheits-Tests (SAST) und dynamische Anwendungssicherheits-Tests (DAST) – nicht leisten.“
 
Die wichtigsten Vorteile des Contrast-Python-Agenten im Überblick:
 
Interactive Application Security Testing (IAST), das in der Vorproduktion durchgeführt wird, erkennt Schwachstellen sowohl in benutzerdefiniertem Code als auch in Bibliotheken während der normalen Nutzung, indem es Daten aus dem laufenden Code sammelt. Der Contrast Python Agent für Contrast Assess liefert die einzige IAST-Lösung, die Python-Unterstützung bietet.
 
Software Composition Analysis (SCA) analysieren Bibliotheken, um potenziell anfällige Komponenten von Drittanbietern und Open-Source-Komponenten zu identifizieren. Python hat eine große Open-Source-Gemeinschaft – und Untersuchungen zufolge bestehen 84 % der heutigen Anwendungen zu mehr als der Hälfte aus Open Source Code.
 
Runtime Application Self-Protection (RASP) wird in der Produktion ausgeführt, um Anfrage-Eingaben zu validieren und zu verhindern, dass Schwachstellen innerhalb der Anwendung (sowohl benutzerdefinierter Code als auch Bibliotheken) ausgenutzt werden.

https://www.contrastsecurity.com