SYNOPSYS SIG - SOFTWARE-INTEGRITÄT
COVERITY - STATISCHES TESTEN VON ANWENDUNGSSOFTWARE
Coverity® ist eine schnelle, genaue und hochskalierbare statische Analyselösung (SAST), die Entwicklungs- und Sicherheitsteams dabei unterstützt, Sicherheits- und Qualitätsmängel frühzeitig im Softwareentwicklungslebenszyklus ( SDLC ) zu beheben, Risiken im gesamten Anwendungsportfolio zu verfolgen und zu verwalten und sicherzustellen Einhaltung von Sicherheits- und Codierungsstandards.
​
Mit Coverity können Sie die Compliance durch eine breite Palette von Sicherheits-, Qualitäts-, Datenschutz- und Sicherheitsstandards umfassend nachverfolgen und verwalten. Filtern Sie identifizierte Probleme ganz einfach nach Kategorie, zeigen Sie Trendberichte an, priorisieren Sie die Behebung von Schwachstellen basierend auf ihrer Kritikalität und verwalten Sie die Einhaltung von Richtlinien über Teams und Projekte hinweg.
​
Coverity bietet umfassende Sicherheits- und Qualitätsprüfer für 22 Sprachen, über 70 Frameworks und häufig verwendete Infrastructure-as-Code-Plattformen und Dateiformate.
BLACK DUCK - ANALYSE DER SOFTWAREZUSAMMENSETZUNG
Die Software-Kompositionsanalyse (SCA) von Black Duck® hilft Teams bei der Bewältigung der Sicherheits-, Qualitäts- und Lizenz-Compliance-Risiken, die sich aus der Verwendung von Open-Source- und Drittanbieter-Code in Anwendungen und Containern ergeben.
Black Duck ist Marktführer bei Open-Source-Governance-Lösungen. Dieser Markt ist als Software Composition Analysis oder kurz SCA bekannt. Das grundlegende Modell, das von allen SCA-Anbietern verwendet wird, besteht darin, den Quellcode zu scannen und nach Hinweisen zu suchen, um festzustellen, welche Open-Source-Bibliotheken vorhanden sein könnten. Diese Analyse erstellt eine Stückliste oder BoM für das Projekt. Ausgestattet mit einer Stückliste wird es dann möglich, latente Sicherheitsprobleme in jedem Element dieser Stückliste zu identifizieren.
​
Schwarze Ente Multifaktor-Open-Source-Erkennung und KnowledgeBase ™ mit über 4 Millionen Komponenten gibt Ihnen eine genaue Stückliste (BoM) für jede Anwendung oder jeden Behälter.
VERTEIDIGUNG - NETZWERK- UND ANWENDUNGSPROTOKOLL-FUZZING
Fuzzing übermittelt absichtlich fehlerhafte Eingaben und identifiziert, ob die zu testende Software diese fehlerhaften Eingaben auf angemessene Weise verarbeitet hat, ohne instabil zu werden oder eine Schwachstelle aufzudecken.
Defensics ist ein umfassender, vielseitiger, automatisierter Blackbox-Fuzzer, mit dem Unternehmen effizient und effektiv erkennen und beheben können Sicherheitsschwächen bei Software.
​
Defensics ist ein Black-Box-Fuzzer - es erfordert keinen Quellcode, um ausgeführt zu werden.
​
Die Verteidigung funktioniert besonders gut für strukturierte Eingaben wie Netzwerkprotokolle und Dateiformate, und das gesamte Fuzzing folgt einer konzeptionellen Abfolge, bei der der Testfall erstellt, der Testfall ausgeführt und dann festgestellt wird, welche Fehler – falls vorhanden – aufgetreten sind.
SEEKER – INTERAKTIVES TESTEN DER ANWENDUNGSSICHERHEIT
WEB SCANNER – DYNAMISCHE SICHERHEITSTESTS FÜR ANWENDUNGEN
CODE SIGHT - IDE-PLUGIN FÃœR SAST UND SCA
Seeker ist die branchenweit erste IAST-Lösung mit aktiver Verifizierung und Verfolgung sensibler Daten für webbasierte Anwendungen.
​
Seeker lässt sich in Ihrem Unternehmen einfach bereitstellen und skalieren CI/CD Entwicklungsworkflows. Native Integrationen, Web-APIs und Plugins bieten eine nahtlose Integration mit den Tools, die Sie für die lokale, Cloud-basierte, Microservice-basierte und Container-basierte Entwicklung verwenden. Sie erhalten sofort genaue Ergebnisse ohne umfangreiche Konfiguration, benutzerdefinierte Dienste oder Feinabstimmung.
Seeker überwacht während normaler Tests die Interaktionen mit Web-Apps im Hintergrund und kann schnell Hunderttausende von HTTP(S)-Anfragen verarbeiten, sodass Sie in Sekundenschnelle Ergebnisse mit nahezu null Fehlalarmen erhalten – keine Notwendigkeit, manuelle Sicherheitsscans durchzuführen.
​
Seeker spart Ihnen wertvolle Zeit, Ressourcen und Kosten, indem es Ihren Entwicklern ermöglicht, kritische Sicherheitslücken frühzeitig zu beheben SDLC . Sie können nicht nur Ihr Risiko reduzieren, indem Sie Apps sichern, bevor sie in die Produktion gehen, sondern Sie können auch Ihre Anforderungen an Penetrationstests erheblich reduzieren, wie Forrester Research gezeigt hat.
​
Dynamic Application Security Testing (DAST) ist ein unverzichtbares Tool in jeder AppSec-Toolbox. Synopsys Web Scannerâ„¢ erleichtert Entwicklern und Sicherheitsteams das Testen von Webanwendungen auf bekannte und Zero-Day-Schwachstellen.
​
Synopsys Web Scanner verwendet die gleichen Techniken wie böswillige Hacker und testet systematisch alle Zugriffspunkte Ihrer Webanwendungen über einen Headless-Browser, um JavaScript- und AJAX-Anfragen abzufangen und zu analysieren, selbst wenn neu erstellte Formulare ausgefüllt werden. Es prüft auf die OWASP-Top 10 Sicherheitsrisiken von Webanwendungen sowie andere bekannte Sicherheitsschwachstellen und Schwachstellen, mit schrittweisen Anleitungen zur Beseitigung erkannter Probleme.
​
Synopsys Web Scanner wird ständig aktualisiert, sodass Sie sicher sein können, dass Sie vor den neuesten Bedrohungen geschützt sind. Wir integrieren regelmäßig neue Tests, und der Synopsys Web Scanner schneidet bei Open-Source-Benchmarks durchweg besser ab als jeder andere Scanner.
Code Sight™ ist ein IDE-Plug-in, mit dem Sie Sicherheitsmängel in Echtzeit beheben können, während Sie codieren.
Mit schnell und genau statische Anwendungssicherheitstests (SAST) und Software-Zusammensetzungsanalyse (SCA) auf dem Desktop ausgeführt, können Sie Schwachstellen im Quellcode, Open-Source-Abhängigkeiten, API-Aufrufe und Infrastructure-as-Code (IaC) schnell finden und beheben, bevor Sie einen Commit durchführen.
​
Code Sight erkennt schnell und genau Sicherheitsmängel in Anwendungscode und Infrastructure-as-Code-Dateien, während Sie sie öffnen, bearbeiten und speichern, sodass Sie sich konzentrieren und Sicherheitsfehler beheben können, bevor Sie einchecken.
​
Code Sight gibt Ihnen einen vollständigen Einblick in Sicherheitsrisiken sowohl direkt als auch Open Source Abhängigkeiten, sodass Sie die sichersten Komponenten und Versionen auswählen und inkompatible Lizenzen vermeiden können.
​
Wenn Probleme gefunden werden, zeigt Ihnen Code Sight genau, welche Codeänderung oder Komponentenaktualisierung erforderlich ist, und kann die Lösung oft automatisch mit nur einem Klick für Sie vornehmen.