AppSec Pipelines

Um automatisiert im Rahmen der Softwareentwicklung erstellten Code auf Sicherheitsprobleme zu analysieren, bietet sich die Integration entsprechender Werkzeuge direkt in die Build-Tools (Continous Integration Server) an, um dort sogenannte AppSec Pipelines aufzubauen.

Hierfür exitieren zahlreiche Ansätze und natürlich auch einsetzbare Security Scan Tools (SAST, IAST, DAST, Dependency Checker), die sich je nach vorhandenem Technologie Stack und Entwicklungsumgebung des Kunden unterschiedlich eignen.

Die folgende Abbildung zeig eine exemplariesch Umsetzung mit dedizierter AppSec Pipeline:

agile-sec-pipeline