Open-Source-basierte IaC-Scan-Engine ermöglicht es Entwicklern als branchenweit umfangreichste Plattform, Konfigurationsprobleme zu identifizieren und zu beheben.

Checkmarx, Anbieter im Bereich Software-Security für DevOps, bietet mit KICS (Keeping Infrastructure as Code Secure) eine neue, Open-Source-basierte Lösung für statische Analysen, die es Entwicklern ermöglicht, Infrastructure-as-Code (IaC) sicher zu entwickeln. Mit KICS baut Checkmarx sein AST-Portfolio weiter aus und stellt nun eine durchgängige Security-Plattform für eigenentwickelten Code, Open-Source-Komponenten und kritische Infrastrukturen in klassischen und Cloud-nativen Anwendungen bereit.

IaC hat in den vergangenen Jahren stetig an Bedeutung gewonnen: Immer mehr Unternehmen verlagern ihre Anwendungen in die Cloud und sind auf die rasche und skalierbare Bereitstellung Cloud-basierter Infrastrukturen angewiesen. Den vielen Vorzügen von IaC stehen aber auch signifikante Risiken gegenüber, mit denen Entwickler zu kämpfen haben – etwa mit Blick auf die Sicherheit, die Compliance und die Konfiguration der Umgebungen. Schon heute sind Probleme, die auf Konfigurations- und Bereitstellungsfehler zurückgehen, die zweithäufigste Ursache erfolgreicher Breaches.

KICS erkennt Schwachstellen, hard-gecodete Schlüssel und Passwörter, Compliance-Verstöße und Konfigurationsfehler automatisch zu Beginn des IaC-Build-Zyklus und macht es Entwicklern leicht, diese Probleme zu korrigieren, bevor der Build in die Produktivumgebung geht. Aufsetzend auf die branchenweit umfangreichste IaC-Scan-Engine unterstützt KICS führende IaC-Technologien wie Terraform, Kubernetes, Docker, AWS CloudFormation und Ansible. Darüber hinaus bietet KICS mehr als 1.200 hochgradig individualisierbare und anpassbare Queries, die mehr als zwölf Kategorien abdecken – von Verschlüsselung und Schlüssel-Management bis hin zur Port-Security im Netzwerk.

»Die Entwicklungsprozesse verändern sich, und die Unternehmen treiben ihre Cloud-Migration immer weiter voran. In der Folge müssen die Entwickler immer mehr Verantwortung für die Security übernehmen – und Software schneller bereitstellen als je zuvor. Dieser Balanceakt ist nicht zu schaffen, wenn man auf zeitaufwändige, manuelle Code-Reviews angewiesen ist«, erklärt Maty Siman, CTO und Gründer von Checkmarx. »Mit KICS haben wir daher eine Lösung entwickelt, mit der Entwicklerteams Probleme in IaC automatisch identifizieren können, solange sie sich noch einfach, schnell und günstig korrigieren lassen. Mit dieser neuesten Erweiterung des Checkmarx Portfolios bieten wir Entwicklern jetzt eine durchgängige Lösung, die sämtliche Komponenten komplexer Anwendungen von heute zuverlässig schützt.«

Wichtige Features und Vorteile von KICS im Überblick:

Integrierte Erweiterbarkeit: KICS bietet die größte ‚Query-Library‘ auf dem Markt, die sich zudem flexibel individualisieren und anpassen lassen. Die robuste, aber einfache Architektur von KICS ermöglicht es überdies, neue IaC-Tools unkompliziert und schnell einzubinden.

Aus der Community, für die Community: Sowohl bei der Scan-Engine als auch bei den hinterlegten Queries handelt es sich um Open-Source-Projekte, die kostenfrei und transparent für eine breite Community von tausenden von Security- und DevOps-Experten bereitstehen. Im Zusammenspiel mit Checkmarx‘ eigenen Experten, die kontinuierlich neue Features und Updates bereitstellen, entwickelt sich KICS rasant weiter.

Nahtlose CI/CD-Integration: KICS lässt sich flexibel in bestehende CI/CD-Pipelines wie GitHub Actions und GitLab CI integrieren. So können die Entwickler ihre IaC-Projekte auf Schwachstellen und Konfigurationsfehler hin überwachen, ohne das gewohnte Toolset zu verlassen.

Siman fährt fort: »Checkmarx ist ganz klar ein Verfechter des Open-Source-Gedankens. KICS in dieser Form anzulegen, gestattet es unserer Community, die Richtung des Projekts in Zukunft mitzubestimmen und diese innovative Lösung branchenweit zu etablieren. Wir sind sehr gespannt zu sehen, wie unsere begeisterte Community KICS aufnehmen und zu einer Schlüsselkomponente im Cloud-Security-Toolset eines jeden Entwicklers weiterentwickeln wird.«

»Ich freue mich sehr, Checkmarx – einen langjährig erfahrenen AST-Anbieter – mit dem Release von KICS in unserem Open-Source-Ökosystem willkommen zu heißen«, erklärt Lior Kaplan, Open-Source-Berater und Evangelist. »KICS stößt bei den DevOps- und Security-Experten in der Open-Source-Szene schon jetzt auf reges Interesse. Und das wird zweifellos rasant zunehmen, wenn das Projekt weiter skaliert und auch auf anderen Infrastructure-as-Code-Plattformen Einzug hält.«

KICS ist heute kostenlos verfügbar. Mehr dazu unter kics.io.

646 Artikel zu „Security DevOps“

NEWS | IT-SECURITY | STRATEGIEN | TIPPS

Security-Praxistipps: Sechs DevSecOps-Metriken für DevOps- und Sicherheitsteams

30. Dezember 2020

Mitarbeiter im DevOps-Team bekommen leicht das Gefühl, dass das Sicherheitsteam dazu da ist, ihnen die Arbeit schwerer zu machen. Sicherheitsfachkräfte haben vielleicht das Gefühl, dass DevOps ihre Prioritäten nicht teilt und die Sicherheit nie so ernst nehmen wird, wie sie es gerne hätten. Glücklicherweise muss das nicht so sein. Durch das Festlegen und Verfolgen gemeinsamer…