Qualys hat seine Produkte zum Schutz von Webanwendungen um neue Funktionalitäten für DevOps erweitert. Damit hilft Qualys den Teams, unternehmensweite DevSecOps-Prozesse über den ganzen Softwareentwicklungszyklus (SDLC) hinweg zu automatisieren und zu operationalisieren. Dies verringert erheblich die Kosten für die Behebung von Sicherheitsmängeln, bevor Anwendungen in den Produktivbetrieb gehen.
Qualys-Web-Application-Scanning (WAS) 6.0 unterstützt jetzt Swagger Version 2.0. Dies befähigt DevOps-Teams, REST-APIs einfacher zu bewerten und sich einen schnelleren Überblick über die Sicherheit von Backends für mobile Anwendungen und IoT-Diensten (Internet der Dinge) zu verschaffen. Außerdem gibt ein neues, natives Plugin für Jenkins den Nutzern dieses populären Werkzeugs für Continuous-Integration/Continuous-Delivery (CI/CD) die Möglichkeit, Webanwendungen automatisch zu scannen. Und zugleich stellt Qualys den Kunden den Qualys-Browser-Recorder zur Verfügung – eine kostenlose Browser-Erweiterung für Google-Chrome, mit der Skripte für die Navigation durch komplexe Authentifizierungs- und Business-Workflows in Webanwendungen leicht geprüft werden können.
Sicherheitsproblemen im Produktivbetrieb vorbeugen
„Es gehört zu unseren Zielen, Sicherheitstests bereits früh im Lebenszyklus der Softwareentwicklung durchzuführen, und eine entscheidende Voraussetzung dafür ist, dass wir Scans nahtlos in unsere Entwicklungsumgebung integrieren können“, so Dmitry Tysh, Sr. Software Developer, IT Development, OSIsoft. „Wir freuen uns darauf, diese neuen Funktionen in Qualys-WAS nutzen zu können, um das Testen unserer Webanwendungen und Web-APIs weiter zu automatisieren.“
„Wenn Unternehmen interne Anwendungen in die Cloud verlegen und neue Technologien einführen, muss die Webanwendungssicherheit in DevOps integriert werden, damit Daten geschützt und Sicherheitsverletzungen verhindert werden können“, erklärt Philippe Courtot, Chairman und CEO von Qualys „Qualys vermittelt den Kunden laufenden Überblick über die Sicherheit und Compliance aller ihrer Anwendungen und REST-APIs und hilft ihnen auf diese Weise, ihre DevSecOps-Prozesse zu straffen und zu automatisieren. Dank der neuesten Funktionen in Qualys-WAS können die Kunden die Absicherung der Webanwendungen jetzt zu einem integralen Bestandteil ihrer DevOps-Prozesse machen und dadurch teuren Sicherheitsproblemen im Produktivbetrieb vorbeugen.“
Qualys WAS 6.0 und die neuen Funktionen umfassen:
- Scannen von Swagger-basierten REpresentational-State-Transfer- (REST-) APIs – Zusätzlich zum Scannen von Simple-Object-Access-Protocol-(SOAP-)Webdiensten unterstützt Qualys-WAS jetzt auch die Swagger-Spezifikation zum Testen von REST-APIs. Die Benutzer müssen lediglich dafür sorgen, dass die Swagger-Version-2.0-Datei (JSON-Format) für den Scandienst sichtbar ist. Dann werden die APIs automatisch auf häufige Mängel in der Anwendungssicherheit getestet.
- Jenkins-Plugin – Das Jenkins-Plugin für Qualys-WAS befähigt DevOps-Teams, Scans zur Ermittlung von Anwendungsschwachstellen in ihre bestehenden CI/CD-Prozesse zu integrieren. Auf diese Weise werden die Anwendungen schon in den frühen Phasen des SDLC auf Sicherheitslücken getestet. Probleme können dann mit erheblich geringerem Kostenaufwand behoben werden, als wenn die Sicherheitsmängel erst in späteren SDLC-Phasen erkannt und beseitigt werden.
- Qualys-Browser-Recorder – Mit dieser neuen Erweiterung für Chrome können die Benutzer die Aktivitäten im Webbrowser aufzeichnen und die Skripte für reproduzierbare, automatisierte Tests speichern. Diese Skripte werden in Qualys-WAS wiedergegeben, sodass die Scan-Engine erfolgreich durch komplexe Authentifizierungs- und Business-Workflows navigieren kann. Die Qualys-Browser-Recorder-Erweiterung ist kostenlos und steht jedermann (nicht nur Kunden von Qualys) im Chrome Web Store zur Verfügung.
Qualys WAS 6.0 ist ab sofort als Jahresabonnement verfügbar. Preis: ab 1.569 Euro pro Jahr, abhängig von der Zahl der Webanwendungen.
#Netzpalaver #Qualys
