Erhöhung der Abdeckung von Anwendungssicherheitstests (Application Security Testing, AST) ohne Änderung des Softwareentwicklungslebenszyklus (Software Development Lifecycle, SDLC)
Was wir erreicht haben
-
Bereitstellung ohne Konfiguration
-
Nutzung vorhandener Prozesse im SDLC
-
Detaillierte Aufzeichnungen zu Sicherheitslücken
An wen
-
Branche: IT
-
Produkte: HCL AppScan
-
Region: Nordamerika/USA
Überblick
-
Teil 1
Herausforderung
Unser Kunde stand vor folgenden geschäftlichen Herausforderungen:
Verbesserung der Produktsicherheit ohne Unterbrechung des aktuellen SDLC-Prozesses.
Verringerung der Wahrscheinlichkeit von Sicherheitsproblemen, die den Versand neuer Versionen verzögern könnten.
-
Teil 2
Lösung
Integration von IAST in den bestehenden QS-Prozess des Kunden und Nutzung automatischer, manueller und Sanity-Tests, um die Abdeckung von Anwendungssicherheitstests (AST) zu erweitern und DevOps in DevSecOps zu transformieren.
-
Teil 3
Ergebnisse
Verbesserte AST-Abdeckung und Behebungsprozesse dank informativer Aufzeichnungen zu Sicherheitsproblemen wie vollständige Aufrufstacks und Exploit-Beispiele, die vom IAST-Agenten gemeldet werden.
Die Herausforderung
Business Case für IAST
Das Unternehmen setzte DAST bereits als Teil seines SDLC ein, meist in der Spätphase. Diese gängige Praxis lieferte gute Ergebnisse, hatte aber mehrere Nachteile:
- Als eine erhebliche Sicherheitslücke entdeckt wurde, verzögerte sich der Release, da DAST als einer der letzten Schritte vor dem Versand einer neuen Version eingeführt wurde. Die Maßnahmen zur Behebung der Sicherheitslücken waren aufgrund der detailarmen Informationen des DAST-Scanners sehr aufwendig.
- Zwischen dem Schreiben des Codes und dem Erkennen der Schwachstellen bestand eine erhebliche Zeitlücke.
Wir waren überrascht vom Bereitstellungsprozess. Wir hatten etwas Komplizierteres erwartet als das Bereitstellen einer WAR-Datei für unser Tomcat!
Technical Manager DevOps team
Die Lösung
Integration von IAST
Aufgrund der Größe und Komplexität der Codebasis verfügt das Unternehmen über einen umfassenden Qualitätssicherungsprozess (QS-Prozess). Der QS-Prozess umfasst automatisierte und manuelle Tests, die von einfachen Szenarien bis hin zu komplizierten Fällen reichen. Mit jeder neuen Version wurden weitere Funktionen hinzugefügt, sodass weitere Tests in den QS-Prozess aufgenommen wurden.
Die QS-Infrastruktur ist Docker-basiert und mit Jenkins orchestriert. Da das Team seine vorhandenen Container nicht ändern wollte, wurde IAST mithilfe eines einfachen Skripts integriert, das den Agent mithilfe von AppScan-APIs herunterlädt und auf dem Webserver bereitstellt, nachdem die Anwendungen erfolgreich erstellt und veröffentlicht wurden.
Die vielen Informationen, die ich bei jedem Problem erhalte, sind für die Priorisierung und Behebung von Vorteil.
System Architect
Die Ergebnisse
Ein bedeutender Vorteil, den die Entwickler sofort meldeten, war die Menge an Informationen, die die Schwachstellen enthielten. Wenn die Codezeile, die das Problem verursacht hat, zusammen mit einem Beispiel für einen auslösenden Exploit zur Verfügung steht, wird der Aufwand für die Behebung erheblich reduziert. Da der QA-Prozess an den Entwicklungsprozess grenzt, sind die Codeänderungen, die zu neuen Sicherheitsschwachstellen geführt haben, den Entwicklern noch frisch im Gedächtnis, wenn sie sich an die Behebung der Sicherheitsprobleme machen.
Ein weiterer Vorteil, den das Sicherheitsteam berichtete, war die geringere Zahl der beim DAST-Scannen festgestellten Probleme, da die Probleme dank QS-Prozess früher im SDLC gelöst werden.
Mit Blick auf die Wartung waren die Sicherheits- und DevOps-Teams beeindruckt, da die Integration des IAST-Agenten nur ein einziges, einfaches Skript erfordert und der Agent selbst immer wieder aktualisiert wird. Sehr positiv ist auch, dass das QA-Team für jede neu entwickelte Funktionalität neue Tests hinzufügen kann und so die AST-Abdeckung mit jeder neuen Version auf dem neuesten Stand hält. Der Prozess verbessert sich als Nebenprodukt des SDLC ständig selbst.
Über das Unternehmen
Aufgrund der sensiblen Natur der Cybersicherheitsdomäne hat das Unternehmen in dieser speziellen Fallstudie darum gebeten, anonym zu bleiben. Das Unternehmen ist ein Softwareunternehmen auf dem IT-E-Markt, das Dienstleistungen für KMU und Großunternehmen anbietet.
In dieser Fallstudie wurde folgender Technologie-Stack verwendet:
- Java
- Tomcat
- Docker
- Jenkins
Teilen auf
Verwandte Funktionen
Business & Industry Applications
Robuste Business-Anwendungen, die neue Maßstäbe für die Effizienz von Unternehmen setzen. Dazu gehören Marketing, E-Commerce, Wertschöpfungskette und Verhaltensanalysen.
Mehr erfahren
AI and Intelligent Operations
KI und Automatisierung kombiniert mit Einfachheit, Sicherheit und Nutzerfreundlichkeit - damit können Sie fundierte Entscheidungen treffen, Markttrends vorhersagen und Ihre Agilität und Effizienz in einem noch nie dagewesenen Maße steigern.
Mehr erfahren
Total Experience
TX-Software, die das Beste miteinander verbindet, um die komplexesten Herausforderungen zu lösen, mit denen Unternehmen konfrontiert sind, unter Einbeziehung von Kundenerfahrung (CX), Mitarbeitererfahrung (EX), Nutzererfahrung (UX) und Multi-Experience (MX).
Mehr erfahren
Data and Analytics
Die Tools, die Sie benötigen, um komplexe Daten in klare, umsetzbare Erkenntnisse zu destillieren - um Ergebnisse vorherzusagen, Kundenprofile zu erstellen, Abläufe zu optimieren und neue Chancen durch Datenmuster und Marktanalysen zu erkennen.
Mehr erfahren
Cybersecurity
Lösungen zur Erkennung, Eindämmung und Behebung von Schwachstellen, die sichere DevOps und Compliance von der Anwendung bis zum Endpunkt ermöglichen.
Mehr erfahren
Sovereign Collaboration
Bei der Sovereign Collaboration-Software steht die Autonomie der Daten im Vordergrund. Wir wissen um die Bedeutung sensibler Informationen und haben sichere, flexible Lösungen entwickelt, um sie zu schützen.
Mehr erfahren
