Marktübersicht: Plattformen für Application Security Posture Management
ASPM liefert eine einheitliche Sicht auf die Sicherheit von inhouse Anwendungen. ASPM-Tools vereinheitlichen das Schwachstellenmanagement. Ein Überblick.
- Benjamin Häublein
Wie lässt sich beurteilen, wie sicher die im Unternehmen entwickelten Anwendungen sind? Beschreibt man den Softwareentwicklungsprozess und in welchem Maß er Aspekte der Sicherheit berücksichtigt? Verweist man auf eine Entwicklungsrichtlinie oder benennt ein paar der verwendeten Tools, die Schwachstellen im Code oder in eingesetzten Bibliotheken und Frameworks identifizieren? Man könnte regelmäßige Penetrationstest ins Feld führen – aber trifft das dann auf alle Anwendungen zu? Und zuletzt: Kennt man überhaupt alle Anwendungen?
Noch komplizierter ist es, die Anwendungen mit dem größten Handlungsbedarf zu identifizieren. Dazu muss man Kriterien und Kennzahlen zur Hand haben, anhand derer man die Anwendungen miteinander vergleichen kann. Sind bereits Tools wie Quelltextscanner oder Produkte zur Analyse der Abhängigkeiten im Einsatz, kann man Anzahl und Schwere der damit identifizierten Schwachstellen heranziehen. Dabei ist der Kontext entscheidend – eine Schwachstelle in einer über das Internet erreichbaren Anwendung wiegt schwerer als eine Schwachstelle in einer Anwendung, die nur intern erreichbar ist.
- Die hohe Zahl, aber auch die Komplexität und Vielfalt von Unternehmensanwendungen machen es den verantwortlichen Teams schwer, einen sicheren Betrieb zu gewährleisten. Dabei sollen spezielle Tools unterstützen.
- ASPM-Tools sammeln Anwendungsinformationen aus verschiedenen Quellen ein, verbinden und analysieren sie und erstellen so Risikobewertungen für den Einsatz. In der Versionsverwaltung können sie als Torwächter fungieren.
- Ein großer Teil des Risikos ergibt sich aus der Lieferkette: Die meisten ASPM-Tools erstellen daher im ersten Schritt eine Software Bill of Materials (SBOM) für die Anwendungen im Unternehmen.
Um die Frage, wie sicher die inhouse entwickelten Anwendungen sind, zu beantworten, ist also unter Umständen ein erheblicher Aufwand zu betreiben. Wenn man über die typischen Prüfwerkzeuge für SAST (Static Application Security Testing), SCA (Software Composition Analysis) oder DAST (Dynamic Application Security Testing) verfügt, muss man die Ergebnisse einsammeln und bewerten.
Das war die Leseprobe unseres heise-Plus-Artikels "Marktübersicht: Plattformen für Application Security Posture Management". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.Immer mehr Wissen. Das digitale Abo für IT und Technik.
Unter 5 Euro: Pflanzensensor selbst bauen und in Home Assistant einbinden
AMD Radeon RX 9070 und 9070 XT im Test: An den richtigen Baustellen gearbeitet
Acht smarte Türschlösser auf dem Prüfstand
Neun Premium-Notebooks mit starken Prozessoren im Vergleichstest
Bastelprojekt: Taupunkt-Lüftung mit ZigBee-Funksteckdose