Security Code Scanning

Die Notwendigkeit automatisiert nach Sicherheitsproblemen in der Softwareentwicklung zu scannen ist gerade in Zeiten von agiler Softwareentwicklung und Continuous Deployment so wichtig wie nie. Aber auch für die klassische Entwicklung gewinnt Automatisierbarkeit von Sicherheitstests natürlich zunehmend an Bedeutung und Wichtigkeit.

Allerdings ist der Markt für entsprechende Lösungen nicht einfach zu durchschauen. Mit DAST, SAST, IAST, SCA und weiteren, existieren hier gleich eine ganze Reihe verschiedener Toolgattungen. Diese unterscheiden sich nicht nur im Hinblick auf Aspekte wie Funktionalität, Integrierbarkeit, Scanqualität, Bedienbarkeit, unterstützte Technologien und Regeln sowie natürlich den Preis, sondern können sich häufig auch gegenseitig ergänzen oder überschneiden.

Daher endet die Auswahl einer entsprechenden Lösung nicht selten in einer teuren Fehlentscheidung. Manchmal muss es auch gar kein teures Produkt sein, welches für ein Kunden den meisten Mehrwert bietet.

Um dies Ihnen zu ersparen, bieten wir eine herstellerunabhängige und objektive Beratung in Bezug auf Auswahl, Konfiguration und Einsatz solcher Lösungen. Obwohl wir hierfür selbst auch verschiedene Partnerschaften mit führenden Herstellern eingegangen sind, steht für uns stets im Vordergrund, unsere Kunden unabhängig zu beraten und immer die für ihn beste Lösung im Auge zu haben. So sprechen wir häufig auch bewusst die Empfehlung gegen die Verwendung einer Enterprise- und stattdessen für den einer OpenSource-Lösung oder einer bereits beim Kunden vorhandenen aus.

Wir unterstützen Sie hier in allen Bereichen von Auswahl, Einführung bis hin zur Anwendung. Auf Wunsch können wir Ihnen auch entsprechende Tool-Lizenzen bereitstellen.

Hierzu einige Beispiele zu von uns häufig erbrachten Tätigkeiten in diesem Bereich:

  • Objektive und herstellerunabhängige Beratung (kommerziell und OpenSource)
  • Unterstützung bei Anforderungsanalysen
  • Unterstützung bei Proof-of-Concepts (PoCs)
  • Bereitstellung von Lizenzen & Services
  • Konfiguration, Regel- und Policy-Anpassung und Integration der Lösung (z.B. in Jenkins oder Azure DevOps)
  • Erstellung individueller Plugins und Report-Templates
  • Schulungen und individuelles Coaching Ihrer Mitarbeiter
  • Durchführung und Auswertung von Scans (vor Ort oder als Service)