Security Code Scanning

Die Notwendigkeit automatisiert nach Sicherheitsproblemen in der Softwareentwicklung zu scannen ist gerade in Zeiten von agiler Softwareentwicklung und Continuous Deployment so wichtig wie nie.

Allerdings ist der Markt für entsprechende Lösungen nicht einfach zu durchschauen. Zum einen existieren mit DAST, SAST und seit kurzem auch IAST verschiedene Toolgattungen, zum anderen sind die Produkteigenschaften der existierenden Lösungen wie Funktionen, Integrierbarkeit, Scanqualität, Bedienbarkeit, unterstützte Regeln und damit letztlich auch die Eignung, teilweise sehr unterschiedlich.

Daher endet die Auswahl einer entsprechenden Lösung nicht selten in einer teuren Fehlentscheidung. Manchmal muss es auch garkein teures Produkt sein, welches für ein Kunden den meisten Mehrwert bietet.

Um dies Ihnen zu ersparen, bieten wir Ihnen eine herstellerunabhängige und objektive Beratung in Bezug auf Auswahl, Konfiguration und Einsatzes zu allen gängigen Enterprise-Lösungen im Markt. Doch obwohl wir mit verschiedenen Herstellern hier Partnerschaften eingegangen sind, verstehen wir uns als unabhängiges Beratungsunternehmen, dass stets die beste Lösung für den Kunden im Auge hat. So haben wir in den vergangenen Jahren Lösungen auch auf Basis von OpenSource-Tools viele Lösungen implementiert.

Auf Wunsch können wir Ihnen auch entsprechende Tool-Lizenzen bereitstellen und Sie auch dabei Tool-übergreifend und natürlich objektiv beraten, was auch die Empfehung gegen den Einsatz einer Enterprise-Lösung und etwa für den ener OpenSource-Lösung bedeuten kann.

Wir unterstützen Sie hier in allen Bereichen von Auswahl, Einführung bis hin zur Anwendung. Hierzu einige Beispiele zu von uns häufig erbrachten Tätigkeiten in diesem Bereich:

  • Objektive und herstellerunabhängige Beratung (kommerziell und OpenSource)
  • Erstellung von Anforderungsanalysen
  • Durchführung von Proof-of-Concepts (PoCs)
  • Konfiguration, Regel- und Policy-Anpassung und Integration der Lösung (z.B. in Jenkins)
  • Erstellung individueller Plugins und Report-Templates
  • Schulungen und individuelles Coaching von Mitarbeitern
  • Durchführung und Auswertung von Scans (vor Ort oder als Service)
  • Bereitstellung von Lizenzen