Mehr Breite, Tiefe und bessere Skalierbarkeit bei Anwendungssicherheitstests

29. Oktober 2020

Synopsys gab heute die Verfügbarkeit einer neuen Version seines SAST (Static Application Security Testing)-Tools Coverity bekannt. Das Tool erlaubt es Unternehmen, ohne Zeitverlust sichere Anwendungen zu erstellen. Die neueste Version von Coverity erfüllt drei immer wichtigere Anforderungen an die Sicherheitsteams in der Softwareentwicklung: Skalierbarkeit, erweiterte Unterstützung von Programmiersprachen und Frameworks sowie umfassende Schwachstellenanalyse.

„Obwohl Anwendungsschwachstellen nach wie vor der häufigste Vektor für Cyberangriffe sind, erweitern Unternehmen ihr Anwendungsportfolio und verlassen sich stark auf Software, um kritische Geschäftsfunktionen durchzuführen und Kundennutzen zu schaffen“, sagt Andreas Kuehlmann, Co-General Manager der Synopsys Software Integrity Group.

„Das bedeutet, dass Sicherheitsteams in der Lage sein müssen, ihre wachsenden und immer vielfältigeren Anwendungsbestände auf Schwachstellen zu prüfen. Dies darf aber nicht die Geschwindigkeit bei der Entwicklung oder den Geschäftsbetrieb beeinflussen. Coverity ermöglicht unseren Kunden genau das, indem wir unsere erstklassige Analysetechnologie auf ein breiteres Anwendungsspektrum ausdehnen und die Implementierung und Skalierung über große Anwendungsportfolios so einfach wie nie zuvor gestalten.“

Skalierbares SAST für Sicherheitsteams

Coverity ermöglicht es Unternehmen, SAST über große Anwendungsportfolios hinweg zu skalieren. Die neueste Version enthält jetzt eine Funktion namens ‚Analyse ohne Build’, mit der Sicherheitsteams tausende von Anwendungen schnell und einfach einbinden und analysieren können. Coverity kann nun Quellcode-Projekte analysieren, ohne dass vorher ein vollständiger Build für jede Anwendung erstellt werden muss. Im Gegensatz zu anderen SAST-Lösungen erkennt Coverity automatisch Projekttypen und Abhängigkeiten, die normalerweise in den Build-Prozess integriert werden müssten. Dies macht die manuelle Definition von Abhängigkeiten überflüssig.

Erweiterte Unterstützung von Programmiersprachen und Frameworks

Das Ökosystem von Programmiersprachen und Frameworks, die zum Erstellen von Anwendungen verwendet werden, wächst stetig. SAST-Tools müssen verstehen, wie jede einzelne davon funktioniert. Um die Anforderungen von Unternehmen mit unterschiedlichen Anwendungsportfolios zu erfüllen, hat Synopsys die Programmiersprachen- und Frameworkabdeckung von Coverity deutlich erweitert. Die neue Coverity-Version unterstützt TypeScript, .NET Core, Swift 4.1 und Ruby on Rails sowie über 50 verschiedene Frameworks für Java, JavaScript und C#, einschließlich Angular, React und Vue.

Umfassende Schwachstellenanalyse

Die Coverity Analyse-Engine verwendet eine Vielzahl von Techniken, um Code auf unterschiedlichste Weise zu untersuchen und die handlungsrelevantesten und kritischsten Schwachstellen zu finden. Als Reaktion auf die wachsende Popularität von Frameworks enthält die neue Coverity-Version eine drastisch verbesserte Framework-Analyse, die es Kunden ermöglicht, Schwachstellen auf Client-Seite sowie Backend-Webservices genauer zu erkennen. Coverity kann nun auch JavaScript Framework-Templates analysieren, die ein beliebtes Mittel zur kundenseitigen Datenanbindung sind. Das aus derartigen Templates dynamisch generierte HTML kann Coverity scannen, um zusätzliche Cross-Site-Scripting-Schwachstellen zu finden.

Erfahren Sie mehr über Coverity.