Applikationssicherheit

Sicherheit von Anfang an

Nutzer, Daten und Applikationen – der Schutz sensibler Informationen gewinnt immer weiter an Bedeutung!

Doch mit zunehmender Nutzung von Cloud-Anwendungen, mobilen Geräten, Bring-Your-Own-Device und Homeoffice greifen bisherige Sicherheitskonzepte mit Firewalls oder klassischen Abschottungsstrategien nur noch bedingt. Mehr denn je sind Anbieter von Applikationen, Dienstleistungen und Waren - besonders aber die Softwareentwickler - gezwungen dafür zu sorgen, dass die Software, die sie entwickeln und einsetzen, so sicher wie möglich ist.

Integrieren Sie dazu wegweisende Werkzeuge in den gesamten Softwareentwicklungszyklus. Gehen Sie den nächsten Schritt in Richtung „DevSecOps“.

Erkennen Sie Sicherheitsprobleme bereits früh in der Entwicklungsphase noch während der Code entsteht und beheben Sie diese, lange bevor die Software lauffähig wird. Prüfen Sie Ihre laufenden Anwendungen regelmäßig auf Schwachstellen und überwachen Sie Ihre Applikationen im Echtbetrieb.

Schnelle Bereitstellung sicherer Anwendungen

Komplexe Anwendungen erfordern klare und umfassende Sicherheitsstandards.

Täglich müssen Unternehmen auf immer schneller wachsende Anforderungen, immer mehr Anwendungen, immer kürzere Releasezyklen, verschiedene Entwicklungswege und Compliance-Anforderungen reagieren und auf der andern Seite sehen sie sich immer ausgefeilteren Angriffen und die damit verbundenen finanziellen und immateriellen Risiken ausgesetzt.

Moderne Applikationen sollten daher von Beginn an geschützt werden. In Zeiten agiler Softwareentwicklung und immer kürzer werdenden DevOps-Prozessen umso mehr. Während Softwareentwicklung, Qualitätssicherung und IT-Betrieb im DevOps-Cycle vereint sind, wird das Thema IT-Sicherheit leider häufig noch nicht, oder erst zu spät integriert.

Dabei sprechen gute Argumente für eine frühzeitige Beachtung:

  • 90 Prozent aller IT-Security-Incidents lassen sich heute auf Fehler im Design oder Code von Anwendungen zurückführen  
  • Früheres Erkennen und Beseitigen von Schwachstellen verursacht nur den Bruchteil der Kosten   gegenüber einem Finding in einer fertigen und bereits ausgerollten Software
  • Die Prüfungen von SourceCode und fertigen Anwendungen ist heute weitreichend automatisierbar und mit einer Vielzahl von Entwicklungswerkzeugen in den modernen SDLC integrierbar

Die Fortify-Toolsuite von Micro Focus bietet Ihnen ein umfassendes IT Security-Portfolio für die Unterstützung moderner Softwareentwicklung an, welches die Applikationssicherheit so früh wie möglich in den DevOps-Prozess einbindet. Entwickler werden schon während des Codings auf Schwachstellen hingewiesen, Qualitätsverantwortliche können Sicherheitslücken in statischen und dynamischen Testszenarien erkennen und Applikationen werden in Echtzeit während der Ausführung überwacht.

Natürlich gibt es mit “Fortify on Demand” ebenfalls eine Cloud-basierte SaaS-Lösung, die auch hybrid eingesetzt werden kann.

Das Tool wurde erst im vergangenen Jahr im "2018 Gartner Magic Quadrant for Application Security Testing" als technologischer Vorreiter eingestuft.

Sichere Entwicklung durch statische Code-Analyse mit Fortify SCA

Der Static Code Analyzer(SCA) steht für 25 Programmiersprachen zur Verfügung und erkennt in über 980 Kategorien mehr als 990.000 verschiedene Schwachstellen. Mit der Fortfy Audit Workbench steht ein Werkzeug zur Verfügung, das die Code-Prüfung und das Fixen von Fehlern und Schwachstellen einfacher macht. SCA unterstützt Entwickler mit vielfältigen Integrationen in IDEs, Code-Repositories, Build-Tools, CI/CD-Tools, Bugtracking und bietet APIs für die einfache Integration.

Fortify SCA nutzt bereits heute Maschine-Leaning-Methoden, um Schwachstellen zu identifizieren und False / Positives zu erkennen und mit dem Fortify Security Assistant steht den Entwicklern bereits in der IDE ein Werkzeug zur Verfügung, das direkt bei der Eingabe bei der Erstellung sicheren Codes unterstützt und dabei mit detaillierten Informationen und zahlreichen Code-Bespielen aufwartet.

Es ist unerheblich, wie Sie Ihre Anwendungen entwickeln. Ob agil, im klassischen Wasserfallmodell oder mit schon mit DevOps – SCA ermöglicht einen modernen, schnellen und sicheren Software Development Life Cycle (SDLC).

Security Testing schon vor dem Go-Live

Testen Sie Anwendungen in Echtzeit. Mit Fortify WebInspect nutzen Sie einen dynamischen Applikations-Scanner, der Ihre Anwendungen und Services automatisiert und live auf Sicherheitslücken überprüft. So erkennen und reduzieren Sie Schwachstellen schon bevor eine Anwendung live geht. Sowohl der IT-Betrieb aber auch Entwickler erhalten detaillierte Informationen zu Schwachstellen und deren Behebung, zum Beispiel an welcher Stelle des Codes sich die Sicherheitslücke befindet.

Mit dem WebInspect-Agent existiert dazu ein Tool, das für Java und .NET Anwendungen direkt am Application-Server integriert werden kann und zusätzliche Daten liefert, so das mehr Schwachstellen gefunden und diese schneller und zielgerichteter behoben werden  können.

Fortify WebInspect ist als On Premise Version oder als SaaS (Fortify on Demand) verfügbar.
 

Kontinuierlicher Schutz und Monitoring im Anwendungsbetrieb

Schützen Sie Ihre Java- oder .NET-Anwendungen im Produktionsbetrieb und stoppen Sie Attacken im laufenden Betrieb. Mit dem Application Defender erhalten Sie einen regelbasierten robusten Echtzeitschutz, der Hackerangriffe von berechtigten Anforderungen unterschieden kann. Wappnen Sie sich gegen die Ausnutzung von Schwachstellen und Sicherheitsverletzungen wie SQL-Injektion, Cross-Site-Scripting oder Datenschutzverletzungen.

Eigene Software Security Forschung (SSR)

Das MicroFocus Fortify Software Security Research-Team ist die „Speerspitze“ von Fortify. Das Team ist führend in der Software-Sicherheitsbranche und Weltklasse bei der Aufdeckung und Erforschung neuer und alter Schwachstellen. Das Forschungsteam sichert den Fortify-Kunden eine umfassende Erkennung der verschiedensten Schwachstellen mit dem breitesten Footprint an Programmiersprachen, Frameworks und Schnittstellen und sichert somit den Vorsprung von Fortify bei der Erkennung und Absicherung von Anwendungssoftware.

Dazu stattet es die Entwickler mit umsetzbaren Anleitungen und klaren, kontextsensitiven Behebungshinweisen aus, die es Ihnen ermöglichen, Sicherheitsprobleme in Ihren Bereichen effizient zu neutralisieren.

Vorteile

  • Entwicklungsbegleitendes Sicherheitskonzept
  • Schwachstellen werden lange vor Inbetriebnahme der Anwendung ausgeschlossen
  • Sicherer Code von Anfang an
  • DevOps ready

Erfolgsfaktoren

  • Sensibilisierte Entwickler achten selbstständig auf sicheren Code
  • IT-Sicherheit ist bereits in die Anwendungsentwicklung eingebunden
  • Eine übergreifende und nahtlose Security-Lösung unterstützt DevOps-Prozesse

Kennzahlen

  • 30x schnellere Time-to-Market
  • 95% weniger False-Positives
  • 10 - 15x schnellere Scans
  • 10fach schnellere Fehlerkorrektur
  • doppelt so viele gefundene Schwachstellen
  • deutliche Reduzierung der Anzahl eingesetzter Tools und Anbieter