Bauen Sie Sicherheit in Ihre .NET-Anwendung ein

Mark Lambert2

Von Markus Lambert

19. Februar 2019

3  min lesen

Mit der neuesten Version von dotTEST (10.4.1) wurden wesentliche Verbesserungen eingeführt, um Entwicklungsorganisationen bei der Bereitstellung sicherer und zuverlässiger .NET-Anwendungen zu unterstützen. Lesen Sie weiter, um mehr über das Integrieren von Sicherheit in .NET-Software zu erfahren.

Wie im kürzlich veröffentlichten Bericht des SANS-Instituts erörtert, 2018 Secure DevOps: Fakt oder Fiktion?Viele Organisationen sind an Einschränkungen in Bezug auf Datenschutz und Zugang (z. B. DSGVO, PCI, PII), Bundesvorschriften und beauftragte Aufsicht gebunden. Angesichts dieser Grenzen ist es für eine erfolgreiche DevSecOps-Strategie wichtig, automatisierte Sicherheitstests in Entwicklungsworkflows zu integrieren:

Kontinuierliches Scannen von Sicherheitslücken kann (und sollte) in automatisierte Build / Deployment-Pipelines eingebettet werden, um Probleme zu erkennen und zu erkennen, sobald sie eingeführt werden.

- 2018 Secure DevOps: Fakt oder Fiktion?

Der Bericht hebt außerdem hervor, dass über 50% der befragten Organisationen vorhandene Legacy-Anwendungen als solche betrachten riskantDies macht über 14% der Sicherheitsverletzungen aus - wobei eine erhebliche Anzahl von Anwendungen .NET nutzt (über 30% der Befragten).

Die neueste Version von dotTEST konzentriert sich darauf, Unternehmen dabei zu helfen, die mit den heutigen Anwendungen verbundenen Geschäftsrisiken zu minimieren, diese Herausforderungen mit erweiterten statischen Analysefunktionen zu bewältigen und ein neues Security Compliance Pack einzuführen, das Compliance-Berichte für OWASP, CWE und UL-2900 enthält. NET-Entwicklungsteams.

Erweiterte Unterstützung für Sicherheitsstandards

Diese Version erweitert die Unterstützung von Parasoft für die wichtigsten .NET-Sicherheitsstandards um die vollständige Unterstützung der OWASP Top 10 und die branchenweit umfassendste Unterstützung für CWE. Diese umfassende Unterstützung ermöglicht es Teams, Sicherheit aufzubauen in Der Softwarequalitätsprozess führt eine Deep-Code-Analyse direkt in Visual Studio sowie einen Teil der CI / CD-Pipeline über die Befehlszeilenschnittstelle und die CI-Plugins durch (verfügbar für Jenkins, Bamboo, TeamCity und Azure DevOps).

Wenn Sie sich beispielsweise die OWASP Top 10 ansehen, hilft der umfassende Support von Parasoft den Benutzern, die Empfehlung einzuhalten, indem die Sicherheit von Beginn der Entwicklung an und während des gesamten Software-Lebenszyklus durchgesetzt wird, indem:

  • Sofort einsatzbereite Richtlinien- / Testkonfigurationen, die vollständig konfigurierbar sind.
  • Ausführung innerhalb der IDE und über den CI / CD-Prozess, um die Sicherheitsanfälligkeit früher im SDLC schnell zu lokalisieren.
  • Anleitung zum Beheben der Sicherheitsanfälligkeiten mit unterstützter Dokumentation und Schulungsmaterial.
  • Compliance-Dashboards, Widgets und Berichte, die das OWASP-Rahmenwerk zur Risikobewertung implementieren.
  • Application Vulnerability Correlation (AVC) mit Echtzeit-Compliance-Metriken, die zeigen, wie gut Sie bei der Einhaltung von OWASP sind.

Wenn Ihr Team in den CWE Top 25 nach Sicherheitsrichtlinien sucht, hilft der richtliniengesteuerte Ansatz von Prasoft Ihrem Unternehmen, die Sicherheitsziele zu erreichen und gleichzeitig eine konsistente, unauffällige Richtlinienanwendung sicherzustellen. Die automatisierte Infrastruktur überwacht automatisch die Einhaltung von Richtlinien auf Transparenz und Überprüfbarkeit.

Entsprechend unserer Unterstützung für OWASP Top 10 bedeutet die sofort einsatzbereite CWE-Zuordnung von Parasoft, dass Benutzer keine Zeit damit verschwenden müssen, herauszufinden, welche Prüfer für welche CWEs bei der Konfiguration und beim Fixieren immer verwendet werden Sie wissen von Natur aus, an welchem ​​CWE gearbeitet wird, da die Namen der Prüfer für statische Analysen dies angeben.

Berichterstattung zum Nachweis der Einhaltung

Zusätzlich zu neuen Regeln und Konfigurationen enthält das Security Compliance Pack ein neues Compliance-Reporting für OWASP und CWE, das Folgendes umfasst:

  1. Compliance-Übersicht - Bereitstellung einer Zusammenfassung des Konformitätsstatus für jede Schwachstelle.
  2. Schwachstellenerkennungsplan - Bereitstellung eines konfigurierbaren Rahmens für die Zuordnung von Verstößen gegen die statische Analyse zu bestimmten Schwachstellen.
  3. Abweichungsbericht - Bereitstellung einer detaillierten Berichterstattung für die Prüfung von Ausnahmen von Verstößen (dh Unterdrückung).

Beispiel für einen Compliance-Bericht für OWASP

Dashboard und Workflows erleichtern den Weg zur Einhaltung

Das Security Compliance Pack enthält außerdem neue OWASP- und CWE-spezifische Dashboards und Widgets, mit denen Unternehmen den Prozess der effizienten Erreichung (und Aufrechterhaltung) der Compliance optimieren können. Zuordnung von Verstößen gegen statische Analysen zu OWASPs Risikobewertung und CWE's Technische Auswirkungen und Entwicklungskonzepte ermöglicht es Unternehmen, das Risiko in Verbindung mit den Standards zu verstehen und genau zu bestimmen, wo das Risiko liegt. Parasoft bietet außerdem einen optimierten Workflow zum Navigieren und Priorisieren der Verstöße, um sicherzustellen, dass das Team am effektivsten arbeitet.

Widgets mit OWASP-Konformität und Verstößen, kategorisiert nach Risiko

Widgets mit CWE-Konformität und Verstößen, kategorisiert nach Entwicklungskonzepten und technischen Auswirkungen

TL; DR

Viele der heutigen Unternehmenssysteme basieren auf der .NET-Plattform. Daher ist es wichtig, dass diese Anwendungen zuverlässig und sicher sind, damit Unternehmen erfolgreich sind. Die jüngste Veröffentlichung von Parasoft dotTEST führt die wichtigsten Funktionen ein, mit denen .NET-Entwicklungsteams sicherstellen können, dass ihre Anwendungen zuverlässig sicher sind.

Mark Lambert2

Von Markus Lambert

Mark, Vice President of Products bei Parasoft, ist dafür verantwortlich, dass Parasoft-Lösungen den Unternehmen, die sie einsetzen, einen echten Mehrwert bieten. Mark ist seit 2004 bei Parasoft und arbeitet mit einem breiten Querschnitt von Global 2000-Kunden zusammen, von spezifischen Technologieimplementierungen bis hin zu umfassenderen Initiativen zur Verbesserung von SDLC-Prozessen.

Erhalten Sie die neuesten Nachrichten und Ressourcen zum Testen von Software sofort.