Holen Sie sich die neuesten wichtigen Update-Informationen für die Log4j-Sicherheitslücke. Sehen Sie sich an, wie Sie das Problem mithilfe der Parasoft-Anleitung beheben können. Erfahren Sie mehr >>

X
BLOG

Die Brücke zwischen Entwicklung und AppSec bauen

Die Brücke zwischen Entwicklung und AppSec bauen Lesezeit: 2 Minuten

Wird Ihr Entwicklungsteam durch „Red Team“ AppSec-Reviews behindert, die die Lieferung oder Bereitstellung aufgrund scheinbar endloser Ablehnungen und Nacharbeiten aufgrund fehlgeschlagener Sicherheitsaudits verzögern?

Parasoft hat eine Lösung für das Paradigma USA vs. Them, das heute in vielen Unternehmen vorherrscht. Unser neuer dynamische Anwendungssicherheitstests (DAST) Angebot integriert sich nahtlos Parasoft SOAtest mit OWASP ZAP um Ihre aktuellen Funktionstests mit Penetrationstests inklusive Verb-Fuzzing zu versehen.

Whitepaper: Leitfaden zur API-Sicherheit

Sicher, einige Entwicklungsteams können in dieser Angelegenheit die Haltung „Sicherheit ist nicht mein Job“ einnehmen. Aber Sicherheit sollte jedermanns Anliegen sein – in jeder Phase des SDLC. Wenn Code aus der Entwicklung die Anwendungssicherheitstests nicht bestehen kann und zur Korrektur an die Entwicklung zurückgesendet wird, wird er schnell zur Aufgabe der Entwicklung.

Können wir nicht alle einfach miteinander auskommen?

Um in dieser Situation Harmonie zu schaffen, hat Parasoft es noch einfacher gemacht, das Testen auf Top-Sicherheitsrisiken nach links zu verschieben. Teams können hinzufügen API-Sicherheitstests zu bestehenden Testsuiten mit wenigen Klicks. Wenn das Entwicklungsteam die API-Funktionstests ausführt, kann es dieselben Tests auch für API-Sicherheitstests wiederverwenden. Ein farbcodierter Bericht fasst die Ergebnisse zusammen, damit Entwickler etwaige Fehler beheben können.

Shift Left API-Sicherheitstests

Im bekannten Werk von Capers Jones 1996 quantifizierte er den Kostenanstieg für die Reparatur von Defekten in späteren Stadien des SDLC. Diese Forschung ist auch heute noch relevant, nur Teams machen sie dank Agile jetzt schneller. Daher kommt der Begriff „nach links verschieben“, wenn Softwareentwicklungsteams versuchen, Fehler zu einem früheren Zeitpunkt im Zyklus zu verhindern und zu reparieren, wo ihre Behebung viel weniger kostet.

Diagramm, das den Prozentsatz der Defekte auf der x-Achse und die Stadien der SDLC auf der y-Achse zeigt. Die Kosten für die Behebung von Fehlern steigen im Verlauf der Phasen bis zur Veröffentlichung.

Ermutigen Sie Ihr Unternehmen, den Shift-Left-Ansatz für API-Sicherheitstests zu übernehmen, um Entwicklungsteams die Möglichkeit zu geben, Sicherheitsrisiken während der Entwicklungsphase zu erkennen und zu beheben. Wenn AppSec- oder DevSecOps-Teams Sicherheits- und Penetrationstests durchführen, können Pen-Tester die API-Sicherheitslösung von Parasoft nutzen, um die API-Funktionalität zu testen. Hier ist wie:

  • Nutzen Sie die aktuelle API-Testsuite für Funktions- und Sicherheitstests mit der neuen DAST-Integration.
  • Wenn noch keine API-Testsuite existiert, verwenden Sie den intelligenten API-Testgenerator von Parasoft SOAtest, um schnell und einfach neue Tests zu erstellen.
  • Teams, die bereits OWASP ZAP verwenden, können auch Richtlinien aus bestehenden Bereitstellungen wiederverwenden, sogar von benutzerdefinierten.

Wie auch immer, Teams setzen die Parasoft API-Sicherheitslösung zu verwenden, können sie API-Funktionstests problemlos für API-Sicherheitstests nutzen und die gesamte Anwendungstestabdeckung erhöhen.

Für jede Situation ist die DAST-Lösung von Parasoft ideal. Sehen Sie sich das Demo-Video zu API-Sicherheitstests an, um zu sehen, wie einfach es ist, API-Sicherheitspenetrationstests zu bestehenden Funktionstests hinzuzufügen.

Sehen Sie Parasoft SOAtest in Aktion! Eine Demo anfordern.

Geschrieben von

Jeffrey Peeples

Jeff Peeples ist Senior Product Manager bei Parasoft und leitet die funktionale Plattformausrichtung für SOAtest, Virtualize und CTP. Jeff verfügt über umfangreiche Erfahrung in der Definition von Lösungen und der Entwicklung von Roadmaps für Unternehmensbranchen wie Energie, Finanztechnologien und Reise-/Gastgewerbe.

Erhalten Sie die neuesten Nachrichten und Ressourcen zum Testen von Software sofort.