SecureCodeBox

SecureCodeBox - continuous secure delivery out of the box

Hand aufs Herz, wie oft testen Sie Ihre IT-Systeme auf Sicherheitslücken? Einmal jährlich? Nach jedem Release? Testen Sie Ihre Systeme überhaupt? Vielen Unternehmen sind die betriebswirtschaftlichen Risiken von Cyber-Angriffen bewusst, doch das Thema IT-Sicherheit bleibt oft nur ein Lippenbekenntnis. Wird das System dann tatsächlich angegriffen, ist die Panik groß.

Durch die Digitalisierung nimmt die Bedeutung der IT-Sicherheit weiter zu, denn die Angriffsfläche wird immer größer. Die Attacken werden zunehmend komplexer und professioneller. Der technologische Fortschritt der Angriffsmethoden und –Szenarien wächst rasant und die Motivation sowie die Attraktivität für Angreifer gleich mit. Hinzu kommen die zeitlichen Ressourcen: Der durchschnittliche Entwickler hat oft nicht genug Zeit für Sicherheitsthemen, Angreifer mit hoher Motivation hingegen 365 Tage im Jahr! 

Ein Bewusstsein für Security zu erzeugen und Security kontinuierlich im agilen Software-Entwicklungsprozess zu berücksichtigen, ist ein wesentlicher Erfolgsfaktor für die Digitalisierung. Gerade im Kontext von Continuous Delivery fehlt es in Unternehmen jedoch oft an geeigneten Ressourcen und Technologien, um kontinuierlich automatisierte Security-Tests ausführen zu können. Zudem ist es oft aufwändig und budgetintensiv automatisierte Sicherheitsanalysen für IT-Systeme aufzusetzen. Bestehende Lösungen erzeugen oft hohe Setup- und Infrastrukturkosten. Deshalb haben wir unser eigenes Tool entwickelt: die SecureCodeBox. 

Mit der SecureCodeBox nutzen wir die Tools und Scanner der Angreifer, automatisieren diese und testen damit unsere Systeme. Dadurch lassen sich Sicherheitslücken früh erkennen. So erhalten Entwickler kontinuierliches Feedback und Sicherheitsaspekte bleiben im Bewusstsein.

Ziel der SecureCodeBox ist es, eine offene und flexible Gesamtlösung für automatisierte Security-Tests bereitzustellen und diese "out of the box" nutzbar zu machen. Die technische Basis bilden hierbei unter anderem Technologien wie Docker, Camunda, Elasticsearch & Kibana sowie etablierte Security Werkzeuge wie z. B. OWASP ZAP, Nmap und SSLyze, die automatisiert dynamische Schwachstellentests durchführen.

Durch die offene Struktur ist die SecureCodeBox nicht an bestimmte Tools gebunden: Sowohl eventuell bestehende Security-Scan-Lösungen (sofern sie Ergebnisse exportieren können) als auch Custom Tests, die individuelle (z. B. REST-) Schnittstellen testen, können integriert werden.

Wie funktioniert der Scan-Prozess?

1. Konfiguration:

2. Spider: 

  • ermittelt alle URLs einer Webseite als Sitemap

3. Scanner: 

  • Für jede URL der Sitemap werden eine Vielzahl an Security-Tests durchgeführt 
  • Weitere Scanner / Tools: Portscanner, SSL-Analyser, ...

Features im Überblick

Beta-Tester gesucht! Wenn Sie sich für die SecureCodeBox oder das Thema Security interessieren, melden Sie sich einfach per E-Mail bei uns. Wir halten Sie auf dem Laufenden.