Application Security Testing (AST)

Over de hele pijplijn van softwareontwikkeling en -levering bevinden zich risico’s. Denk aan zwakheden in de applicatiecode, de library’s van derde partijen of de implementatiesjablonen van Infrastructure as Code (IaC). Deze risico’s beperk je tot een minimum met uitgebreide AST. Het Checkmarx One Application Security Testing Platform vermindert het aantal beveiligingskwetsbaarheden in de applicaties die je zelf ontwikkelt en implementeert. Tevens biedt het educatie voor ontwikkelaars. Het platform integreert naadloos met DevOps-methodologieën en past perfect in de CI/CD-pijplijn. Dit AST-platform zet de nieuwe standaard in cyber security– van scannen op broncodeniveau tot runtimetesten.

Integreer eenvoudig AppSec-testen met één klik met een platform dat is gebouwd op basis van onze toonaangevende technologie. Ontworpen voor de generatie van cloudontwikkeling en geleverd vanuit de cloud, beveiligt het naadloos je volledige codebase, zodat je veiligere code kunt leveren en implementeren.

Met software in het hart van digitale transformatie, is het essentieel om ervoor te zorgen dat het veilig is vanaf de eerste codecommit van een ontwikkelaar tot en met de push naar productie. Om het moderne applicatielandschap van aangepaste code, open source-bibliotheken, open source toeleveringsketen,

Cert2Connect

infrastructuur als code (IaC), containers en meer te beveiligen, is een alles-in-één platform nodig waarop jullie teams kunnen vertrouwen om je risico's volledig aan te pakken zonder je te vertragen.

Organisaties die hun eigen software ontwikkelen, gebruiken een overvloed aan AST-tools om hun code te testen op beveiligingsproblemen in verschillende stadia van de SDLC. Maar geen van hun tools kan de vele resultaten van de verschillende scanengines daadwerkelijk met elkaar in verband brengen.

Zonder correlatie is de kijk op de algehele beveiliging van je code op zijn best gezegd vertekend. Deze leemte wordt opgevuld door Checkmarx Fusion, dat ongekende, geavanceerde correlatie biedt voor AppSec-testen in moderne applicatie-ontwikkelingsomgevingen.

Checkmarx One biedt:

  1. Geïntegreerde en geautomatiseerde beveiligingsscans die vroeg en vaak worden uitgevoerd tijdens de SDLC (software development lifecycle). Een echte shift left met het scannen van niet-gecompileerde code.Deze scans helpen in het detecteren en herstellen van kwetsbaarheden voordat ze in productie gaan.
  2. Intelligente herstelbegeleiding en 'best fix'-locatie, zodat ontwikkelaars kwetsbaarheden snel en gemakkelijk kunnen oplossen.
  3. Diverse AST-oplossingen om risico's te beperken in de eigen code, open source code, Infrastructure as Code (IaC), containers, API's en in de open source toeleveringsketen.
  4. Wordt geleverd als Software as a Service (SaaS) of kan zelf worden beheerd, kan gemakkelijk worden geïntegreerd in de huidige ontwikkelingspijplijnen en wordt geleverd met standaard en optionele AppSec-services.
  1. Bevat een real-time, geïntegreerd en gamified trainingsplatform voor beveiligde code voor ontwikkelaars, genaamd Codebashing, zodat jij en je ontwikkelaars kunnen leren terwijl ze coderen.
  2. Biedt een uniform dashboard, rapportage en levert een broodnodige correlatiemogelijkheid genaamd Checkmarx Fusion, met topologie en tabelweergaven, zodat je je risico echt kunt meten.
  3. Past goed in AppSec-programma's met SDLC-integraties en plug-ins voor IDE's, SCM's, CI/CD-pijplijnen en de tools die je dagelijks gebruikt.

Geen enkele organisatie is geholpen met een verzameling puntoplossingen die slecht op elkaar aansluiten, of een complexe testinfrastructuur. Met de zekerheid van uitstekende AST-services kunnen ontwikkelaars gedurfd coderen en geweldige applicaties leveren.

De Checkmarx One AST-oplossingen

AppSec-platform

Integreert eenvoudige één-klik Application Security-testen, ontworpen voor ontwikkelaars en geleverd vanuit de cloud. Het beveiligt naadloos de volledige codebase, zodat je veiliger code kunt leveren en implementeren.

Het Checkmarx One AST Platform™ is speciaal ontworpen voor de huidige technologiestack, processen, kwetsbaarheden en risico's en is een oplossing waarop je kunt vertrouwen. Het stelt je in staat om beveiliging te vereenvoudigen - in applicatiebroncode, open source-afhankelijkheden, toeleveringsketens, IaC, API's, containers en meer - allemaal vanuit één enkele scan.

Static Application Security Testing (SAST)

Biedt snelle en nauwkeurige scans – incrementeel of volledig. Een flexibele en nauwkeurige applicatiebeveiliging zonder dat je eerst een build van de code hoeft te maken. Je hoeft de code alleen maar in te checken, te scannen om snel resultaten te krijgen. Ontwikkelaars kunnen scans starten en de resultaten bekijken binnen hun ontwikkelomgeving.

Ondersteunt tientallen programmeertalen en frameworks. Checkmarx SAST is compatibel met vrijwel elke reguliere IDE, source code management (SCM)-platform, CI-server, enzovoort. Voeg beveiligingsscans naadloos toe aan bestaande ontwikkelingspijplijnen met Checkmarx-plug-ins en kant-en-klare integraties.

Hulp bij herstel en de beste locatie zorgen ervoor dat u weet waar en hoe u een beveiligingsprobleem kunt oplossen. Onze SAST-tool helpt u beveiligingsproblemen snel op te lossen en softwarereleases snel en continu te implementeren.

Source Composition Analysis (SCA)

Geeft ontwikkelings-, beveiligings- en operationele teams de tools en inzichten om risico's aan te pakken die samenhangen met de open source codecomponenten in hun applicaties. Het brengt automatisch gecompromitteerde afhankelijkheden aan het licht, biedt een herstelgids evenals licentie-compliancy. Je kunt de code van derden identificeren evenals waar het zich bevindt binnen jouw ontwikkelingslandschap. Aan de hand van geautomatiseerde softwarelijsten (SBOM’s; software bill of materials) wordt gecheckt of de code kwetsbaar is of veilig.

Supply Chain Security (SCS)

Supply Chain Security in combinatie met SCA levert geautomatiseerde open source-beveiliging voor DevSecOps, dat op beleid is gebaseerd. Checkmarx is de oplossing voor het managen van supply chain-risico's. Traditionele SCA identificeert pakketjes met bekende kwetsbaarheden (CVE's) of pakketjes die nog naar een laatste versie moeten worden bijgewerkt. SCS richt zich meer op tactieken, technieken en procedures die aanvallers gebruiken om een open source supply chain te infiltreren. SCS maakt deel uit van de SCA-module van het platform.

Container Security

Het platform kan de basis containerimages analyseren die worden gebruikt om de container van een applicatie te bouwen. Tevens evalueert het deze images aan de hand van een continu bijgewerkte lijst van containerimages met bekende problemen. Dit voorkomt dat applicaties worden gebouwd op onveilige fundamenten. Containerbeveiliging is eveneens opgenomen in het SCA-onderdeel van het platform.

API Security

Met behulp van SAST (Static Application Security Testing) ontdekt deze tool elke API in moderne applicaties op broncodeniveau. Dankzij een volledig inzicht in jouw API-inventaris kun je het probleem van schaduw- en zombie-API's elimineren. Na het automatisch ontdekken en opbouwen van de API-inventaris vergelijkt de oplossing deze met de inventaris die ontwikkelaars zelf hebben gemaakt. Hierdoor kun je snel beveiligingsproblemen isoleren. Checkmarx API Security vormt een aanvulling op runtime-beveiligingscontroles zoals WAF's en API-gateways. Deze controles creëren de API-context waarmee je gelijke tred kan houden met de snel veranderende applicatievoetafdruk.

IaC Security

Schaalbare scanning van Infrastructuur as Code (IaC) via het platform. Deze oplossing vereenvoudigt codeanalyse van IaC-bestanden en correleert bevindingen met het Checkmarx One AppSec Platform. Het spoort automatisch onveilige configuraties op die applicaties, data of services kunnen blootstellen aan aanvallen. Ook biedt het een beter visueel inzicht in de scanresultaten via het platform.

Het gebruikt Checkmarx Fusion (zie hieronder) om IaC-scanresultaten te correleren met bevindingen van andere scan-engines. Dit geeft richting aan het prioriteren van de problemen. Dat maakt een einde aan het jongleren met de overdaad aan waarschuwingen om erachter te komen welke er écht toe doen.

Met meer dan 2000 aanpasbare query’s vindt het kwetsbaarheden, compliancy-issues en verkeerde configuraties in IaC-oplossingen als Terraform, Kubernetes, Docker, AWS CloudFormation, Ansible, Helm, Google Deployment Manager, AWS SAM, Microsoft ARM en OpenAPI 3.0-specificaties.

Bevat native integraties met populaire opslagplaatsen als GitHub en GitLab, en feedbackoplossingen zoals Jira. Hiermee kun je bijvoorbeeld een ticket aanmaken om scanresultaten in GitHub te beheren.

KICS (Keeping Infrastructure as Code Secure) van Checkmarx is een gratis, open source oplossing voor statische code-analyse van IaC. Lees meer op kics.io.

Fusion

Biedt ongekende, geavanceerde resultatencorrelatie tussen de verschillende Checkmarx-oplossingen voor het testen van applicatiebeveiliging. In deze ‘fusie’ zie je de werkelijke risico’s zodat je de juiste prioriteit kan geven aan fixes. Het visualiseert het beveiligingsrisico van een applicatie in de vorm van een topologisch beeld van alle bedreigingen. Dit is een gemakkelijk leesbare grafiek die alle software-elementen, verbruikte cloud-resources en hun onderlinge relaties weergeeft. Fusion combineert en correleert de resultaten van statische codescans en runtime-scans om valse positieven te elimineren. Dit vermindert de waarschuwingsmoeheid en geeft een betrouwbaar beeld van de algehele risicopositie.

Codebashing

Anders dan traditionele klassikale of op video gebaseerde training, is Codebashing een leuke, praktische, interactieve oplossing die ontwikkelaars tijdens hun werkzaamheden kunnen volgen. Ontwikkelaars leren niet gedurende een dag of nog langer droog over beveiligingsproblemen. Nee, ze krijgen hapklare, on-demand sessies die relevant zijn voor de specifieke uitdagingen waarmee ze in hun code worden geconfronteerd. Deze vorm van AppSec Awareness en Secure Code-training beklijft veel beter.

Checkmarx biedt een unieke integratie aan tussen hun SAST-oplossing en hun praktische traningsopzet in veilig coderen. De door SAST geïdentificeerde kwetsbaarheden zijn gekoppeld aan relevante, praktische trainingslessen voor snelle en gerichte herstelbegeleiding. De ontwikkelaar leert waarom het probleem zich voordeed, hoe het te verhelpen en – nog belangrijker – hoe te voorkomen dat dezelfde fout opnieuw wordt gemaakt. Dat alles in minder dan 5 minuten per les.

 

De oplossingen van Checkmarx kunnen on-premise draaien, in de cloud of in hybride omgevingen.

Downloads

Download Portal
Focus Application Security

A Guide to Modern API Security - 2023.04.05

APIs are like highways: They’re everywhere, and although they provide the foundation for interaction between all manner of resources, they also pose challenges.

Download
Focus Application Security

Dropping the SBOM

Why the Industry Must Unite Against Software Supply Chain Cybercrime
SCS is rapidly gaining unwelcome notoriety as high-impact breaches hit the headlines.

Download
Focus Application Security

Checkmarx - SAST - Static Application Security Testing

Today’s software-driven organizations thrive on developing, delivering, and deploying their own innovative applications to enhance their business offerings and better serve their customers.

Download
Focus Application Security

Checkmarx - SCS - Supply Chain Security

Automated Policy-Driven Open Source Security for DevSecOps
A significant challenge of modern application development stems from potential supply chain threats due to the ever-increasing use of OSS.

Download
Focus Application Security

Checkmarx - KICS - IAC- Security Scanning Solution

KICS enables DevOps and Developers who provision their cloud resources using IaC frameworks to shift left by scanning & fixing their IaC misconfigurations, security vulnerabilities before deployment.

Download
Focus Application Security

Checkmarx - API-Security

CHECKMARX API SECURITY
You Can’t Secure What You Can’t See

Challenges of API Security in a Modern, Cloud-Native World

Download
Focus Application Security

Checkmarx One - Application Security Platform

Without comprehensive AST in your software development pipelines, you’re introducing unnecessary risk to your organization and your
customer base.

Download
Focus Application Security

Datasheet Why Checkmarx

Why Checkmarx
With software everywhere, everything becomes an attack surface. And while “everything” certainly sounds daunting, don’t panic, we’ve got your back.

Download