Was wir erreicht haben

  • Bereitstellung ohne Konfiguration

  • Nutzung vorhandener Prozesse im SDLC

  • Detaillierte Aufzeichnungen zu Sicherheitslücken

An wen

  • Branche: IT

  • Produkte: HCL AppScan

  • Region: Nordamerika/USA

Überblick

  • Teil 1

    Herausforderung

    Unser Kunde stand vor folgenden geschäftlichen Herausforderungen:

    Verbesserung der Produktsicherheit ohne Unterbrechung des aktuellen SDLC-Prozesses.

    Verringerung der Wahrscheinlichkeit von Sicherheitsproblemen, die den Versand neuer Versionen verzögern könnten.

  • Teil 2

    Lösung

    Integration von IAST in den bestehenden QS-Prozess des Kunden und Nutzung automatischer, manueller und Sanity-Tests, um die Abdeckung von Anwendungssicherheitstests (AST) zu erweitern und DevOps in DevSecOps zu transformieren.

  • Teil 3

    Ergebnisse

    Verbesserte AST-Abdeckung und Behebungsprozesse dank informativer Aufzeichnungen zu Sicherheitsproblemen wie vollständige Aufrufstacks und Exploit-Beispiele, die vom IAST-Agenten gemeldet werden.

Die Herausforderung

Business Case für IAST

Das Unternehmen setzte DAST bereits als Teil seines SDLC ein, meist in der Spätphase. Diese gängige Praxis lieferte gute Ergebnisse, hatte aber mehrere Nachteile:

  • Als eine erhebliche Sicherheitslücke entdeckt wurde, verzögerte sich der Release, da DAST als einer der letzten Schritte vor dem Versand einer neuen Version eingeführt wurde. Die Maßnahmen zur Behebung der Sicherheitslücken waren aufgrund der detailarmen Informationen des DAST-Scanners sehr aufwendig.
  • Zwischen dem Schreiben des Codes und dem Erkennen der Schwachstellen bestand eine erhebliche Zeitlücke.

Wir waren überrascht vom Bereitstellungsprozess. Wir hatten etwas Komplizierteres erwartet als das Bereitstellen einer WAR-Datei für unser Tomcat!

Technical Manager DevOps team

Die Lösung

Integration von IAST

Aufgrund der Größe und Komplexität der Codebasis verfügt das Unternehmen über einen umfassenden Qualitätssicherungsprozess (QS-Prozess). Der QS-Prozess umfasst automatisierte und manuelle Tests, die von einfachen Szenarien bis hin zu komplizierten Fällen reichen. Mit jeder neuen Version wurden weitere Funktionen hinzugefügt, sodass weitere Tests in den QS-Prozess aufgenommen wurden.

Die QS-Infrastruktur ist Docker-basiert und mit Jenkins orchestriert. Da das Team seine vorhandenen Container nicht ändern wollte, wurde IAST mithilfe eines einfachen Skripts integriert, das den Agent mithilfe von AppScan-APIs herunterlädt und auf dem Webserver bereitstellt, nachdem die Anwendungen erfolgreich erstellt und veröffentlicht wurden.

Die vielen Informationen, die ich bei jedem Problem erhalte, sind für die Priorisierung und Behebung von Vorteil.

System Architect

Die Ergebnisse

Auswirkungen

Ein bedeutender Vorteil, den die Entwickler sofort meldeten, war die Menge an Informationen, die die Schwachstellen enthielten. Wenn die Codezeile, die das Problem verursacht hat, zusammen mit einem Beispiel für einen auslösenden Exploit zur Verfügung steht, wird der Aufwand für die Behebung erheblich reduziert. Da der QA-Prozess an den Entwicklungsprozess grenzt, sind die Codeänderungen, die zu neuen Sicherheitsschwachstellen geführt haben, den Entwicklern noch frisch im Gedächtnis, wenn sie sich an die Behebung der Sicherheitsprobleme machen.

Ein weiterer Vorteil, den das Sicherheitsteam berichtete, war die geringere Zahl der beim DAST-Scannen festgestellten Probleme, da die Probleme dank QS-Prozess früher im SDLC gelöst werden.

Mit Blick auf die Wartung waren die Sicherheits- und DevOps-Teams beeindruckt, da die Integration des IAST-Agenten nur ein einziges, einfaches Skript erfordert und der Agent selbst immer wieder aktualisiert wird. Sehr positiv ist auch, dass das QA-Team für jede neu entwickelte Funktionalität neue Tests hinzufügen kann und so die AST-Abdeckung mit jeder neuen Version auf dem neuesten Stand hält. Der Prozess verbessert sich als Nebenprodukt des SDLC ständig selbst.

Über das Unternehmen

Aufgrund der sensiblen Natur der Cybersicherheitsdomäne hat das Unternehmen in dieser speziellen Fallstudie darum gebeten, anonym zu bleiben. Das Unternehmen ist ein Softwareunternehmen auf dem IT-E-Markt, das Dienstleistungen für KMU und Großunternehmen anbietet.

In dieser Fallstudie wurde folgender Technologie-Stack verwendet:

  • Java
  • Tomcat
  • Docker
  • Jenkins

Verwandte Funktionen