Snyk gibt die Einführung von „Snyk Code“ bekannt, einer SAST-Lösung (statische Anwendungssicherheitstests) für Entwickler. Diese Lösung ergänzt Snyks Plattform für native Anwendungssicherheit in der Cloud. Mit der Einführung von Snyk-Code bietet Snyk nun Sicherheitstransparenz und -korrekturen als Plattform für alle kritischen Komponenten moderner Anwendungen, wie etwa Anwendungscodes, Open-Source-Bibliotheken, Container-Infrastruktur und Infrastruktur als Code.
Bisher waren ältere SAST-Tools für Entwickler oft schwierig in der Anwendung, da es oft Stunden oder Tage dauerte, bis ein Schwachstellen-Scan abgeschlossen war. Darüber hinaus gab es oft hohe False-Positive-Raten und es bedurfte großer Fachkenntnis, um Probleme schnell zu beheben. Mit Snyk-Code definiert Snyk-SAST neu, so dass Entwickler SAST nun nahtlos in ihren Entwicklungsprozesses integrieren können. Auf diese Weise wird eine schnelle und sichere Software-Entwicklung möglich. Snyk Code gibt Entwicklern automatisierte und schnelle Einblicke in Probleme und Schwachstellen des Codes, den sie erstellen, und kombiniert diese mit Erkenntnissen aus anderen Snyk-Sicherheitslösungen für Open-Source-Bibliotheken, Container und Infrastruktur als Code. Durch diesen ganzheitlichen Ansatz für Anwendungssicherheit, bei dem die Entwickler an erster Stelle stehen, können softwaregetriebene Unternehmen kontinuierliche und skalierbare Sicherheit gewährleisten – und das noch vor der Produktion.
Peter McKay, CEO von Snyk, sagt: „Snyk-Code ergänzt unsere Cloud-native Plattform für Anwendungssicherheit auf entscheidende Weise. Wir freuen uns, heute auf der SnykCon diesen integrierten und ganzheitlichen Ansatz für Anwendungssicherheit vorzustellen. Wir nutzen auf maschinellem Lernen basierende Technologie, die wir von DeepCode akquiriert haben, und ermöglichen so Geschwindigkeit, Genauigkeit und einen Developer-First-Ansatz für SAST – einem bis jetzt nicht sehr entwicklerfreundlichen Teil des Sicherheitsprozesses. Snyk Code wird die Standards neu definieren, wie Entwickler ihren eigenen Code sichern können, und trägt entscheidend zur Weiterentwicklung des Security-Marktes bei. So können Entwickler mit dem schnellen Tempo der digitalen Transformation Schritt halten.“
Snyk Code ermöglicht Entwicklern ein vielfältiges SAST-Erlebnis, wie es heute keine andere Lösung auf dem Markt bietet. Dies wird möglich durch:
- Benutzerfreundlichkeit für Entwickler: Snyk-Code stellt die Entwickler an erste Stelle und kombiniert Geschwindigkeit und Genauigkeit mit der Möglichkeit, den Quellcode vor der Anwendungsentwicklung zu scannen. Auch ermöglicht es die bisher nicht mögliche nahtlose Integrationen in Git und IDEs und Empfehlungen auf der Grundlage von realen Echtzeitdaten zu korrigieren.
- Geschwindigkeit: Snyk-Code ist bis zu 50-mal schneller als herkömmliche SAST-Lösungen und ermöglicht eine nahtlose Integration in das hohe Tempo der Continuous Integration und Delivery (CI/CD)-Pipelines sowie die Schwachstellenerkennung noch während der Programmierung. Das war bisher ein zeitaufwändiger Extra-Schritt, der oft viele Stunden dauerte – mit Snyk Code wird dies wesentlich vereinfacht.
- Genauigkeit – Snyk Code stellt verwertbare, relevante Ergebnisse bereit, modelliert automatisch APIs und Szenarien aus dem Code und trainiert diese Modelle mit der umfangreichen, von Hand kuratierten Schwachstellendatenbank von Snyk, wodurch „False positive“-Meldungen deutlich reduziert werden.
Guy Podjardny, Präsident und Mitbegründer von Snyk, sagt: „Von Anfang an war es das Ziel von Snyk, Anwendungssicherheit neu als einen „Dev-first“-Prozess zu definieren, der entwicklerzentrierte Werkzeuge, Integrationen und Arbeitsabläufe erfordert. Das war unser Ansatz für SCA, für Containersicherheit und auch kürzlich für die Sicherheit von Infrastruktur als Code. Und dieser Ansatz ist jetzt auch für SAST entscheidend. Herkömmliche SAST-Produkte sind bei Entwicklern oft unbeliebt – aber sie sind ein wichtiger Sicherheitsaspekt. Wir haben mit Snyk Code den gleichen Ansatz verfolgt und ermöglichen eine differenzierte SAST-Lösung, bei der die Erfahrung von Entwicklern im Vordergrund steht.“
