Shift Left Tools & Automation
Security Automation & Continuous Security Testing

Was ist Security Automation?

Die Geschwindigkeit von klassischen Security-Instrumenten ist für agile Softwareentwicklungs- und Continuous-Delivery-Prozesse zu langsam. Statt lediglich punktuellen Pentests und Security-Audits mit hohem finanziellem und personellem Aufwand müssen zusätzlich kontinuierliche Test- und Scan-Möglichkeiten direkt als Teil des agilen Entwicklungsprozesses bereitgestellt werden.

 

 

Continuous Security Testing beschreibt die automatische Ausführung von Sicherheitstests im Rahmen der CI/CD Pipeline und ermöglicht so unmittelbare Rückmeldung zu möglichen Sicherheitsrisiken bei neuen Releases.

Volle SDLC-Integration

Je komplexer Software ist, desto größer die Angriffsfläche. Um effektiv gegen die unterschiedlichen Arten von Schwachstellen testen zu können, muss Anwendungssicherheit in den gesamten Sercure Software Development Lifecycle (SDLC) integriert werden, von der Quellcodekontrolle über CI/CD bis hin zum Application Monitoring.

Static Analysis Security Testing (SAST)

Die statische Codeanalyse prüft den Source Code zur Build-Zeit basierend auf bekannten Mustern und definierten Guidelines (White-Box-Test) zur Identifizierung von Schwachstellen wie z. B. einfache SQL Injections.

Software Composition Analysis (SCA)

Die Software Composition Analysis (SCA) ist ein automatisierter Prozess zur Identifizierung vin Open-Source-Softwarekomponenten in einer Codebasis. Die Analyse wird durchgeführt, um Sicherheit, Lizenzkonformität und Codequalität zu bewerten.

Dynamic Analysis Security Testing (DAST)

Die dynamische Laufzeit Analyse führt einen Blackbox-Test der laufenden Anwendung durch und wird typischerweise für Webanwendungen genutzt.

Interactive Analysis Security Testing (IAST)

Kombiniert SAST und DAST, um Programmcode dynamisch im Rahmen der Ausführung, also innerhalb des Testservers (Tomcat, Open Liberty, etc.) nach Sicherheitsproblemen zu analysieren.

Vulnerability Management

Vulnerability Management Systeme unterstützen durch automatische Ticketerstellung die unmittelbare Bereitstellung von Security-Findings im Entwicklungsworkflow. Ein Duplikate- und False-Positive Handling entlastet die Teams bei der Priorisierung.

Unser Ansatz: Security Automation beyond Tooling

Umfangreichere Tools und eine höhere Test Coverage bedeuten nicht automatisch mehr Sicherheit. Fehlt die Integration in den CD/CI Prozess oder das Handling der Findings unpraktisch kompliziert ist, laufen Continuous Testing-Ansätze ins Leere. Deshalb unterstützen wir unsere Kunden über die reine Einführung von Tools hinaus durch folgende Leistungen:

  • Beratung bei der Auswahl von Scannern und Test Automation Lösungen
  • Trainings und Schulungen
  • Konfiguration, Regel- und Policy-Anpassung und Integration der Lösung (z.B. in Jenkins oder Azure DevOps)

Ihre Vorteile

Herstellerunabhängig

Wir beraten Sie fair und unabhängig bei der Auswahl geeigneter Security Automation-Tools – egal ob Open Source oder kommerzielle Lösung.

Prozess-Integration

Wir verankern Continuous Security Testing erfolgreich in Ihren agilen Entwicklungsprozess, um das volle Potenzial der eingesetzten Instrumente nutzbar zu machen.

Geschwindigkeit

Als Experten in der agilen Softwareentwicklung kennen wir die Anforderungen von Entwickler*innen an Security-Tools und helfen diese umzusetzen.

Bereit für Ihren Shift Left?

Wir zeigen Ihnen, wie Sie kontinuierliches Testing erfolgreich in Ihre agilen Entwicklungsprozesse integrieren. In einem unverbindlichen Erstgespräch klären wir Anforderungen und mögliche Vorgehensweisen.

Buchen Sie dazu direkt einen persönlichen Termin mit Robert Felber (Head of Security). 

 

Organisation: Effektive Zusammenarbeit in DevSecOps-Teams

Mehr erfahren

People & Skills: Security Enablement für agile Entwicklungsteams

Mehr erfahren

Culture & Leadership: DevSecOps-Kultur & Change Management

Mehr erfahren