Webanwendungssicherheit für DEVOPS

Dank direkter Integration mit Jenkins und Swagger sowie einer neuen Browser Recorder-Erweiterung für Chrome können DevOps-Teams Scans von Webanwendungen stärker automatisieren und REST APIs leichter testen + Qualys hat seine Produkte zum Schutz von Webanwendungen um neue Funktionalitäten für DevOps erweitert. Damit hilft Qualys den Teams, unternehmensweite DevSecOps-Prozesse über den ganzen Softwareentwicklungszyklus (SDLC) hinweg zu automatisieren und zu operationalisieren. Dies verringert erheblich die Kosten für die Behebung von Sicherheitsmängeln, bevor Anwendungen in den Produktivbetrieb gehen.

Qualys Web Application Scanning (WAS) 6.0 unterstützt jetzt Swagger Version 2.0. Dies befähigt DevOps-Teams, REST APIs einfacher zu bewerten und sich einen schnelleren Überblick über die Sicherheit von Backends für mobile Anwendungen und IoT-Diensten (Internet der Dinge) zu verschaffen. Außerdem gibt ein neues, natives Plugin für Jenkins den Nutzern dieses populären Werkzeugs für Continuous Integration/Continuous Delivery (CI/CD) die Möglichkeit, Webanwendungen automatisch zu scannen. Und zugleich stellt Qualys den Kunden den Qualys Browser Recorder zur Verfügung – eine kostenlose Browser-Erweiterung für Google Chrome, mit der Skripte für die Navigation durch komplexe Authentifizierungs- und Business-Workflows in Webanwendungen leicht geprüft werden können. 

Qualys zeigt diese neuen Tools und erweiterten Funktionalitäten bei der RSA Conference 2018. 

„Es gehört zu unseren Zielen, Sicherheitstests bereits früh im Lebenszyklus der Softwareentwicklung durchzuführen, und eine entscheidende Voraussetzung dafür ist, dass wir Scans nahtlos in unsere Entwicklungsumgebung integrieren können“, so Dmitry Tysh, Sr. Software Developer, IT Development, OSIsoft, Inc. „Wir freuen uns darauf, diese neuen Funktionen in Qualys WAS nutzen zu können, um das Testen unserer Webanwendungen und Web APIs weiter zu automatisieren.“ 

„Wenn Unternehmen interne Anwendungen in die Cloud verlegen und neue Technologien einführen, muss die Webanwendungssicherheit in DevOps integriert werden, damit Daten geschützt und Sicherheitsverletzungen verhindert werden können“, erklärt Philippe Courtot, Chairman und CEO von Qualys, Inc. „Qualys vermittelt den Kunden laufenden Überblick über die Sicherheit und Compliance aller ihrer Anwendungen und REST APIs und hilft ihnen auf diese Weise, ihre DevSecOps-Prozesse zu straffen und zu automatisieren. Dank der neuesten Funktionen in Qualys WAS können die Kunden die Absicherung der Webanwendungen jetzt zu einem integralen Bestandteil ihrer DevOps-Prozesse machen und dadurch teuren Sicherheitsproblemen im Produktivbetrieb vorbeugen.“

Qualys WAS 6.0 und die neuen Funktionen umfassen:

● Scannen von Swagger-basierten REpresentational State Transfer (REST) APIs – Zusätzlich zum Scannen von Simple Object Access Protocol (SOAP) Webdiensten unterstützt Qualys WAS jetzt auch die Swagger-Spezifikation zum Testen von REST APIs. Die Benutzer müssen lediglich dafür sorgen, dass die Swagger Version 2.0-Datei (JSON-Format) für den Scandienst sichtbar ist. Dann werden die APIs automatisch auf häufige Mängel in der Anwendungssicherheit getestet.

● Jenkins-Plugin – Das Jenkins-Plugin für Qualys WAS befähigt DevOps-Teams, Scans zur Ermittlung von Anwendungsschwachstellen in ihre bestehenden CI/CD-Prozesse zu integrieren. Auf diese Weise werden die Anwendungen schon in den frühen Phasen des SDLC auf Sicherheitslücken getestet. Probleme können dann mit erheblich geringerem Kostenaufwand behoben werden, als wenn die Sicherheitsmängel erst in späteren SDLC-Phasen erkannt und beseitigt werden.

● Qualys Browser Recorder – Mit dieser neuen Erweiterung für Chrome können die Benutzer die Aktivitäten im Webbrowser aufzeichnen und die Skripte für reproduzierbare, automatisierte Tests speichern. Diese Skripte werden in Qualys WAS wiedergegeben, sodass die Scan-Engine erfolgreich durch komplexe Authentifizierungs- und Business-Workflows navigieren kann. Die Qualys Browser Recorder-Erweiterung ist kostenlos und steht jedermann (nicht nur Kunden von Qualys) im Chrome Web Store zur Verfügung.   

Preis und Verfügbarkeit

Qualys WAS 6.0 ist ab sofort als Jahresabonnement verfügbar. Preis: ab 1.569 Euro pro Jahr, abhängig von der Zahl der Webanwendungen.