Snyk verspricht schnelles Static Application Security Testing

Der Anbieter einer Sicherheitsplattform integriert nun SAST in sein Angebot und ist Partnerschaften mit Docker, IBM und Datadog eingegangen.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 4 Min.
Von
  • Alexander Neumann
Inhaltsverzeichnis

Snyk, Anbieter einer Sicherheitsplattform, hat seine derzeit tagende snykcon dafür genutzt, etliche Neuerungen anzukündigen. Es geht hier vorrangig um den Ausbau der eigenen Cloud-Plattform um ein SAST-Angebot (Static Application Security Testing) und Partnerschaften mit Docker, IBM und Datadog.

Das SAST-Angebot heißt Snyk Code. Mit dem Hinzufügen dieses Features bietet die Cloud-Plattform jetzt Sicherheitstransparenz- und -korrektur-Funktionen für kritische Anwendungskomponenten, einschließlich des Anwendungscodes, der eingesetzten Open-Source-Bibliotheken, der Container-Infrastruktur und der Infrastructure as Code.

Snyk Code gibt Entwicklern offenbar automatisiert und in Echtzeit Einblicke in Probleme und Schwachstellen innerhalb des Codes und kombiniert diese mit Erkenntnissen aus anderen Snyk-Sicherheitsangeboten. Der Hersteller hebt hier insbesondere die Geschwindigkeit hervor, da es bei vielen SAST-Werkzeugen wohl oft Stunden oder Tage dauert, bis ein Schwachstellen-Scan abgeschlossen ist, er hohe False-Positive-Raten liefert und es tiefes Sicherheitswissen braucht, um die Probleme beheben zu können.

Das Werkzeug modelliert wohl automatisch APIs auf der Grundlage der etablierten Verfahren der Plattform und ist so konzipiert, dass es sich in CI/CD-Plattformen (Continuous Integration/Continuous Delivery) integrieren lässt, um DevSecOps-Arbeitsabläufe zu gewähren. Weitere Informationen finden sich in der zugehörigen Mitteilung.

Eine weitere Meldung ist der Ausbau der Partnerschaft mit Docker. Hier ist Snyk nun exklusiver Provider von Sicherheitsinformationen für die Docker Official Images, die wohl immerhin 25 Prozent aller Images des Docker Hub ausmachen, und andere künftige Zertifizierungsprogramme. Durch die kürzlich in Docker Desktop und Docker Hub integrierte Snyk-Suche können Entwickler eine Schwachstellenbewertung in jeden Schritt des Container-Entwicklungs- und Bereitstellungsprozesses vornehmen. Die Integration von Snyk in das "Docker Official Images"-Programm ist wohl noch in diesem Jahr zu erwarten. Auch hierzu gibt es weitere Informationen in einer Ankündigung des Unternehmens.

Eine weitere Partnerschaft, und zwar mit IBM, hat zur Folge, dass die Schwachstellen-Datenbank Snyk Intel in die Sicherheitsfunktionen der Public Cloud von Big Blue integriert wird. Die Datenbank wird kontinuierlich von einer Snyk-Forschungsmannschaft kuratiert, damit Teams bei der Eindämmung von Open-Source-Sicherheitsproblemen effizient arbeiten können, während sie sich primär auf die Entwicklung konzentrieren. Der Zugriff auf die Schwachstellendatenanalyse wird wohl so gestaltet, dass IBM-Cloud-Nutzer Open-Source- und Container-Schwachstellen vor der Laufzeit identifizieren können. Mehr dazu in der entsprechenden Mitteilung.

Eine weitere Integration ist die mit dem Cloud-Monitoring-Anbieter Datadog. Entwicklern soll dabei geholfen werden, Sicherheitslücken in ihren Workloads mit Live-Datenverkehr zu kennzeichnen und zu priorisieren. Auch dieses Angebot richtet sich vorrangig an Kunden des Snyk-Partners.

Noch gar nicht so lange ist es her, dass Snyk mit DeepCode den Betreiber einer KI-gestützten Echtzeit-Codeanalyse übernommen hat. Das auf Machine Learning basierende Angebot von DeepCode soll dazu beitragen, Schwachstellen schneller zu identifizieren und Entwicklern ein höheres Maß an Genauigkeit zu gewährleisten. Snyk erhofft sich von der Übernahme eine KI-gestützte semantische Code-Analyse. Und tatsächlich scheint das neue SAST-Werkzeug von dem Ansatz schon zu profitieren.

Des Weiteren war in der damaligen Ankündigung von Echtzeit-Workflows innerhalb des Entwicklungsprozesses und einer drastischen Reduzierung von False Negatives und Positives die Rede, da man von einem System ausgeht, das in der Lage ist, schnell aus großen Mengen von Code zu lernen. Auch Code-Scan auf IDE- und Git-Ebene spielt hier eine Rolle, sodass Entwickler das Scannen einfach in ihren Entwicklungsprozess integrieren können.

(ane)