Sicherheitsrisiken für Entwickler reduzieren
ID: 2098482
Lacework führt automatisierte Fehlerbehebung durch Smart Fix ein
"Die neue Smart Fix-Technologie von Lacework zielt darauf ab, den Zeitaufwand für die Behebung von Sicherheitslücken und -risiken um den Faktor 10 bis 100 zu reduzieren. Dies geschieht, indem sie die derzeit von Entwicklern manuell durchgeführten Schritte automatisiert, zusätzliche Informationen bereitstellt und die leistungsstarke Code-to-Cloud-Plattform von Lacework nutzt", erklärt Patrice Godefroid, Distinguished Engineer bei Lacework.
Smart Fix für Software von Drittanbietern
Laceworks Smart Fix für Software von Drittanbietern bietet Entwicklern eine maßgeschneiderte Anleitung zur Behebung von Sicherheitslücken. Dazu ermittelt das neue Feature den kürzesten Aktualisierungspfad, mit dem alle aktuellen und potenziellen Schwachstellen im Code von Drittanbietern behoben werden können. Herkömmliche Software-Kompositionsanalyse-Produkte (Software Composition Analysis, kurz SCA) arbeiten mit einem Blick auf die einzelnen bekannten Schwachstellen und Anfälligkeiten (CVEs), anstatt die Anweisungen für alle CVEs in einem Paket zusammenzufassen und eine einzige Empfehlung auszusprechen. Das bedeutet, dass in einem Code-Paket mit mehreren CVEs jedes Einzelne widersprüchliche Anweisungen zur Fehlerbehebung geben kann, was wiederum zu folgenden Problemen führt:
-Unzureichende Anweisungen zur Behebung von Schwachstellen: Laut National Vulnerability Database werden monatlich durchschnittlich 1.300 neue Schwachstellen in öffentlichen Datenbanken registriert. Ältere CVEs verfügen dabei oft nicht über aktualisierte Anleitungen, um mit diesen neuen Zero-Days umgehen zu können. Für Entwickler, die an der Behebung von Schwachstellen in herkömmlichen SCA-Lösungen arbeiten, bedeutet dies einen enormen Mehraufwand.
-Überwältigende Anzahl von Schwachstellen: In der Regel gibt es mindestens zwei bis fünf CVEs pro Code-Paket, was es schwierig macht, den kürzesten Weg zur Behebung aktueller und zukünftiger potenzieller Schwachstellen zu finden.
Laceworks Smart Fix für Software von Drittanbietern bietet eine Lösung für die oben genannten Probleme. Um den optimalen Patch auszuwählen, evaluiert das neue Feature automatisch jeden potenziellen Patch für das anfällige Kundenpaket und die nachfolgenden Paketversionen. Dadurch wird sichergestellt, dass nicht nur die identifizierten CVEs gepatcht werden, sondern auch alle anderen potenziellen Schwachstellen, von denen bekannt ist, dass sie das Paket betreffen. Entwickler haben direkt in ihrer Codebasis über die Lacework Integrationen Zugriff auf die Smart Fix-Empfehlungen.
Im Laufe der Zeit wird Lacework seine Smart Fix-Technologie in andere Sicherheitsbereiche ausdehnen, darunter u.a. Codesicherheit, Identitäts- und Zugriffsmanagement, Angriffspfade und IaC (Infrastructure as Code)-Sicherheit. In jedem Fall analysiert das System alternative Wege zur Behebung des Problems, berechnet den kürzesten Weg zur Reduzierung des größten Risikos mit dem geringsten Aufwand und kann die Änderung sogar automatisch ausführen.
Weitere Ergänzungen
Neben Smart Fix für Software von Drittanbietern kündigt Lacework noch mehrere weitere neue Funktionen an, die die Sicherheitsanforderungen für Entwickler verringern, darunter:
-Anwendungskontext: Zählt jede Instanz auf, in der eine Anwendung auf eine anfällige Programmbibliothek verweist. Die Entwickler können beobachten, wie oft die jeweilige Bibliothek aufgerufen und wie sie genutzt wird. So erhalten sie den nötigen Kontext, um CVEs effektiv zu priorisieren.
-Differenzielle Analyse: Identifiziert CVEs, die von jedem einzelnen Entwickler eingeführt werden, wenn er den Code ändert und Pull Requests (PR) einreicht. Dadurch können Entwickler den Fokus auf die Entwicklungsgeschwindigkeit ihrer Codes und das Durchlaufen von Sicherheitskontrollpunkten legen, anstatt sich mit langjährigen Schwachstellen zu beschäftigen, die von anderen eingeführt wurden.
-Visual Studio (VS) Code-Erweiterung: Erkennt und warnt Entwickler vor anfälligen Drittanbieter- und Open-Source-Bibliotheken und -Paketen, während der Code geschrieben wird. Damit lassen sich Sicherheitsrisiken direkt in ihrer integrierten Entwicklungsumgebung (IDE) proaktiv angehen und Verzögerungen vermeiden, die durch die Entdeckung von Schwachstellen bei der Einreichung von Pull Requests (PR) oder Code-Check-Ins entstehen.
Diese Tools bieten Entwicklern und Entwicklungsteams einen neuen, effizienteren Weg, um Zeit zu sparen und sicheren Code effizient zu entwickeln, und zwar über das gesamte Spektrum der Code-Sicherheitsfunktionen hinweg.Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Lacework sorgt für die Sicherheit von Unternehmen in der Cloud und ermöglicht es ihnen, Innovationen schneller und zuverlässiger umzusetzen. Cloud-Sicherheit erfordert einen grundlegend neuen Ansatz, und die Plattform von Lacework ist so konzipiert, dass sie mit dem Volumen, der Vielfalt und der Geschwindigkeit der Daten in der Cloud-Umgebung eines Unternehmens mitwächst: Code, Identitäten, Container und Multi-Cloud-Infrastrukturen. Nur Lacework bietet Sicherheits- und Entwicklungsteams eine korrelierte und priorisierte End-to-End-Ansicht, die die größten Risiken und einige der wichtigsten Sicherheitsereignisse identifiziert. Weitere Informationen finden Sie unter www.lacework.com/de.
Maisberger GmbH
Jasmin Altmann
Claudius-Keller-Straße 3c
81669 München
lacework(at)maisberger.com
+49 (0)89 / 41 95 99-42
www.maisberger.com
Datum: 16.05.2024 - 18:00 Uhr
Sprache: Deutsch
News-ID 2098482
Anzahl Zeichen: 5700
Kontakt-Informationen:
Ansprechpartner: Sabine Doerle
Stadt:
München
Telefon: +49 (0)89 / 41 95 99-42
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 339 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Sicherheitsrisiken für Entwickler reduzieren"
steht unter der journalistisch-redaktionellen Verantwortung von
Lacework (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
