
Contrast Security erweitert mit Python seine AppSec-Plattform und stellt damit die einzige Interactive-Application-Security-Testing-Lösung (IAST) mit Python-Unterstützung bereit. Da Python eine dynamische Programmiersprache ist, muss der Code während der Laufzeit getestet werden, damit die Anwendungssicherheit genau und effektiv gewährleistet wird. Bisherige Lösungen für Sicherheitstests können Sicherheitslücken in Python-basierten Anwendungen jedoch nicht genau oder erst spät lokalisieren. Contrast Security automatisiert die Identifizierung von Schwachstellen und die Überprüfung der Abhilfemaßnahmen, indem kontinuierlich laufende Anwendungen über Datenflüsse getestet werden. Der Agent von Contrast beginnt mit der Sicherung von Code, indem er dem gesamten Software-Stack Sensoren hinzufügt. Contrast Assess überwacht den gesamten Code (einschließlich Bibliotheken) und liefert genaue Ergebnisse, ohne dass AppSec-Teams für manuelle Tests, Recherchen und Abhilfemaßnahmen eingesetzt werden müssen.
So hilft der Contrast-Python-Agent für Contrast Asses, Schwachstellen schon früh im Softwareentwicklungszyklus zu entdecken, wenn Korrekturen noch einfacher und kostengünstiger durchgeführt werden können. Da die Contrast-Plattform versionsunabhängig ist, schützt sie außerdem sowohl Python 2 als auch Python 3 – so können Entwickler die Umstellung auf das Upgrade in ihrem eigenen Tempo vornehmen und gleichzeitig gewährleisten, dass ihr Code sicher ist.
„Python ist als stabile und zuverlässige Programmiersprache für Anwendungen auf Unternehmensebene weit verbreitet. So wird sie beispielsweise von Netflix verwendet, um Videos in mehr als 100 Millionen Haushalte weltweit zu streamen und die NASA bei der Weltraumforschung zu unterstützen. Python-Entwickler haben jedoch besondere Herausforderungen, wenn es um die Sicherheit geht. Die Wurzel des Problems liegt in der Tatsache, dass Python im Gegensatz zu statischen Sprachen wie Java eine dynamische Sprache ist”, berichtet Justin Leo, Technical Product Manager für Java und Python bei Contrast Security. „In statischen Sprachen werden Variablen Typen zugewiesen. Da Python jedoch dynamisch ist, wird der Variablentyp in der Anwendung erst zur Laufzeit bestimmt. Anschließend muss Python Code während der Laufzeit evaluiert werden. Und das können herkömmliche Tests – wie statische Anwendungssicherheits-Tests (SAST) und dynamische Anwendungssicherheits-Tests (DAST) – nicht leisten.“
Die wichtigsten Vorteile des Contrast-Python-Agenten im Überblick:
Interactive Application Security Testing (IAST), das in der Vorproduktion durchgeführt wird, erkennt Schwachstellen sowohl in benutzerdefiniertem Code als auch in Bibliotheken während der normalen Nutzung, indem es Daten aus dem laufenden Code sammelt. Der Contrast Python Agent für Contrast Assess liefert die einzige IAST-Lösung, die Python-Unterstützung bietet.
Software Composition Analysis (SCA) analysieren Bibliotheken, um potenziell anfällige Komponenten von Drittanbietern und Open-Source-Komponenten zu identifizieren. Python hat eine große Open-Source-Gemeinschaft – und Untersuchungen zufolge bestehen 84 % der heutigen Anwendungen zu mehr als der Hälfte aus Open Source Code.
Runtime Application Self-Protection (RASP) wird in der Produktion ausgeführt, um Anfrage-Eingaben zu validieren und zu verhindern, dass Schwachstellen innerhalb der Anwendung (sowohl benutzerdefinierter Code als auch Bibliotheken) ausgenutzt werden.
Fachartikel

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
