Die Log4shell-Schwachstelle in der Apache-Logging-Bibliothek hat eine Reihe von notwendigen Erkenntnissen befördert, was die Nutzung von Open Source anbelangt. Welche davon besonders wichtig sind erläutert Tim Mackey, Head of Software Supply Chain Risk Strategy, Synopsys. Die meisten unter uns sind mit der Log4shell-Schwachstelle in der Apache-Logging-Bibliothek vertraut. Welche Erkenntnisse gibt es hinsichtlich Open…
Anwendungssicherheit etabliert sich immer mehr. Das ist gut so, denn das heißt, Sicherheitstests werden zu einem festen Bestandteil des Softwareentwicklungslebenszyklus (SDLC). Inzwischen sind automatisierte Sicherheitstests deutlich schneller und ausgefeilter. Alles mit dem Ziel, Entwickler nicht auszubremsen oder mit einer Flut von trivialen Ergebnissen oder Fehlalarmen zu belasten. Aber so gut und notwendig AppSec-Testtools auch sind,…
Im Durchschnitt verwendet ein Unternehmen für seinen gesamten Softwareentwicklungslebenszyklus (SDLC) 11 verschiedene AppSec-Tools. Dabei sind Penetrationstests, die Überprüfung des Quellcodes, Risk Assessments, Threat Models und vieles weitere noch gar nicht berücksichtigt. Es ist nicht einfach für Firmen in puncto Sicherheit mit Hunderten von CI/CD-Pipelines zu jonglieren. Hinzu kommt ein starke Diskrepanz zwischen den Ergebnissen manueller…
Das National Institute of Standards and Technology (NIST) definiert eine Anwendung als »ein System zum Erfassen, Speichern, Verarbeiten und Darstellen von Daten mittels eines Computers«. In diese ziemlich weit gefasste Definition fallen Unternehmensanwendungen ebenso wie solche, die sich an den Endverbraucher richten, bis hin zu Handy-Apps. Sicherheit ist einer der zentralen Faktoren für jede Art…
Immer schnellere Zyklen bei der Softwareentwicklung und aggressiv gesetzte Release-Termine führen nach verbreiteter Ansicht zu Mängeln bei der Sicherheit und Zuverlässigkeit: Es wird aus unterschiedlichen Gründen nicht immer gründlich genug getestet, heißt es. Tatsächlich muss diese Konsequenz nicht zwangsläufig eintreten. Es gilt vielmehr, ein in moderne, agile Entwicklungsverfahren integriertes Testmodell zu etablieren. Automatisierung und risiko-orientierte Priorisierung bei der…
Die 11. Version des »Building Security In Maturity Model« demonstriert, wie Unternehmen Softwaresicherheit anpassen können, um moderne Software-Entwicklungsparadigmen zu unterstützen. Synopsys veröffentlichte BSIMM11, die aktuelle Version des Building Security In Maturity Model (BSIMM). BSIMM unterstützt Unternehmen bei der Planung, Ausführung, Analyse und Verbesserung ihrer Softwaresicherheitsinitiativen (SSIs). Die Studie spiegelt die Softwaresicherheitspraktiken von 130 Unternehmen…
2020 brachte zahlreiche Herausforderungen für Unternehmen. Viele Arbeitnehmer mussten aufgrund der COVID-19-Pandemie über Nacht von Zuhause arbeiten. Sie benötigen daher sichere Arbeitsumgebungen, die gleichzeitig den Zugang zu allen relevanten Anwendungen ermöglichen. Der Verizon 2020 Data Breach Investigations Report zeigte nun, dass Cyberkriminelle diese Umstellung ausnutzen, um neue Wege zu finden, Anwendungen anzugreifen. Um dies zu…