Lösung bietet Multi-Scan-Engine-Korrelation für Open-Source- und proprietären Code sowie komponentenübergreifende Priorisierung von Anwendungsschwachstellen in listenbasierter und topographischer Single-Pane-of-Glass-Ansicht

Für umfassendes AppSec-Testing benötigen Entwickler und AppSec-Teams eine durchgängige, integrierte Lösung, die ihnen Einblick in die Interaktionen, Funktionen und Schwachstellen der Vielzahl an Komponenten einer typischen modernen Anwendung verschafft. Vor diesem Hintergrund stellt Checkmarx, einer der weltweit führenden Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, heute Checkmarx Fusion vor, eine kontextbezogene Korrelations-Engine, die einen vollständigen Überblick über Anwendungen, Komponenteninteraktionen und Software-Stücklisten liefert. Sie nutzt eine ganzheitliche Sicht auf die Ergebnisse von AppSec-Scans über alle Phasen des Software-Lifecycles hinweg, um Schwachstellen zu korrelieren und zu priorisieren – so lassen sich die kritischsten Probleme zuerst adressieren. Checkmarx Fusion ist Teil von Checkmarx One, der branchenweit umfassendsten Application-Security-Plattform.

»Development-Teams testen viele Millionen Codezeilen pro Monat. Angesichts der Komplexität moderner Anwendungen – die auf Quellcode, Open-Source-Code, Infrastructure-as-Code, Container und vieles mehr zurückgreifen – müssen Entwickler und AppSec-Verantwortliche Transparenz darüber haben, wie die einzelnen Anwendungskomponenten ineinandergreifen«, so Razi Sharir, Chief Product Officer bei Checkmarx. »Durch die enge Zusammenarbeit mit unseren Kunden weltweit wissen wir, dass Entwickler und AppSec-Teams eine ganzheitliche Sicht auf den Kontext und die Priorität von Anwendungsschwachstellen benötigen, die AST- und ASOC-Lösungen (Application Security Orchestration and Correlation) nicht bieten. Checkmarx Fusion vereinheitlicht, priorisiert und rationalisiert die Behebung von AppSec-Schwachstellen – so können Entwickler effizienter und Unternehmen agiler arbeiten.«

Teams können nun einen Shift-Left-Ansatz verfolgen und umfassende AppSec-Tests und Maßnahmen zur Behebung von Schwachstellen in den Entwicklungszyklus integrieren – von der ersten bis zur letzten Codezeile. Im Gegensatz zu ASOC-Lösungen korreliert Checkmarx Fusion die Scans mehrerer Engines und priorisiert die Ergebnisse kontextbezogen je nach Risiko über alle Engines hinweg. Checkmarx Fusion unterstützt Entwickler und AppSec-Teams in puncto:

Transparenz: Bietet Threat Modeling, indem es Bedrohungen in einem intuitiven Diagramm, das alle Softwareelemente, genutzten Cloud-Ressourcen und deren Beziehungen zueinander enthält, grafisch aufbereitet. Checkmarx Fusion extrapoliert potenzielle Schwachstellen, die andernfalls womöglich unentdeckt bleiben würden, innerhalb von zwei oder mehr Scans.

Korrelation: Setzt isolierte Scanner in einen Kontext zueinander, indem es die Ergebnisse von statischen Code-Scans und Runtime-Scans kombiniert und korreliert, und so False Positives praktisch ausschließt.

Priorisierung: Priorisiert Schwachstellen auf der Grundlage ihrer tatsächlichen Auswirkungen und Risiken, sodass Entwickler und AppSec-Teams die kritischsten Probleme zuerst adressieren können.

Cloud-Native: Nutzt eine Cloud-native Architektur einschließlich Microservices, Cloud-Ressourcen, Containern und APIs und korreliert Ergebnisse von der Pre-Deployment- bis zur Runtime-Phase.

Melinda-Carol Ballou, Research Director für das Application-Life-Cycle-Management-Programm (ALM) von IDC [1]: »Mit einem breiten Portfolio aus SAST-, SCA-, IAST- und IaC-Security-Lösungen in einer einheitlichen Plattform bietet Checkmarx Unternehmen im hart umkämpften DevSecOps-Markt einen entscheidenden Vorteil. Der entwicklerzentrierte Ansatz der Plattform, zusammen mit DevOps-Toolchain-Integrationen und kontextbezogenem Training, steigert die Produktivität von Entwicklern und vereinfacht das Security Testing – und ermöglicht so die schnelle Bereitstellung sichererer Anwendungen.«

Checkmarx Fusion ist ab sofort verfügbar. Interessierte Leser, die mehr über die neue Lösung und die Herausforderungen, die sie adressiert, erfahren möchten, finden hier weiterführende Informationen.

