Suchen

Drittanbieter-Prüfung durch „Verified“-Programm Veracode validiert sichere Software-Entwicklung

| Autor: Stephan Augsten

Sichere Anwendungsentwicklung wird immer öfter gelebt, doch sicher kann man sich entsprechender Vorgehensweisen als Software-Käufer nicht sein. Im Rahmen eines „Verified“-Programms will Veracode künftig sichere Software-Entwicklung verifizieren und validieren.

Firmen zum Thema

Im Rahmen von CA Veracode Verified kann eine Anwendung drei potenzielle Security-Reifegrade erreichen.
Im Rahmen von CA Veracode Verified kann eine Anwendung drei potenzielle Security-Reifegrade erreichen.
(Bild: Veracode)

84 Prozent der geschäftlichen Software-Käufer nehmen Sicherheitsanforderungen in ihre Lieferantenverträge mit auf. Dies haben CA Veracode und IDG bei einer gemeinsamen Studie herausgefunden. Im Rahmen des „Verified“-Programms wird Veracode künftig als Drittanbieter einen Nachweis für sichere Software-Entwicklung erbringen.

Hierzu gehört es zunächst einmal, gemeinsam mit dem Kunden eine Strategie zu entwerfen, um ein Programm für Anwendungssicherheit umzusetzen und weiterzuentwickeln. Für Sicherheitstests im Rahmen des Entwicklungsprozesses stellt Veracode eine Bescheinigung aus. Ein weiterer Schwerpunkt liegt darauf, im Zuge einer DevSecOps-Strategie sichere Coding-Prozesse auch für agile Entwicklungsmethoden und DevOps-Umgebungen sicherzustellen. Gestützt wird das ganze durch ein Security Tool von Veracode.

Im Rahmen des Verified-Programms soll es drei Verifizierungsstufen geben: Standard, Team und Continuous. Eine höhere Stufe setzt dabei immer voraus, dass die Anforderungen der vorherigen Stufe erfüllt sind.

  • „Verified Standard“ verlangt, dass der Software-Lieferant seine Anwendung mittels statischer Code-Analyse scannt und dokumentiert, dass sie keine schwerwiegenden Fehler aufweist. Entwickler erhalten außerdem Leitlinien zur Fehlerbehebung.
  • Um den „Verified Team“-Status zu erhalten, darf die Anwendung auch keine „hoch“ priorisierten Fehler enthalten und das Unternehmen muss eine 60-tägige Reaktionszeit bei .Bugfixes nachweisen. Es muss außerdem einen „Security Champion“ ernennen, der nachweislich im sicheren Coden geschult wird. Zu guter letzt muss das Unternehmen verwendete Open-Source-Komponenten auf ihre Sicherheit hin prüfen.
  • Für die „Verified Continuous“-Validierung muss der Software-Anbieter Security-Tools in den Development Workflow integrieren, bei der Sicherheitsprüfung wird „Dynamic Testing“ vorausgesetzt. Die erlaubte Reaktionszeit bei Fehlern halbiert sich auf 30 Tage und auch mittelschwere Sicherheitslücken sind tabu. Der Security Champion erhält fortgeschrittene Trainings, das Development Team wird ebenfalls in sicherem Coding geschult.

Sicherheit wird bei der Entwicklung und beim Kauf einer Software zum Wettbewerbsvorteil, ist sich Chris Wysopal, Chief Technology Officer bei CA Veracode, sicher: „Verified bietet sowohl eine Roadmap für eine sichere Softwareentwicklung, als auch eine schnelle Maßnahme, den Sicherheitsstatus bei bestimmten Anbietern zu überprüfen. Das Verified-Siegel zeichnet Organisationen aus, die zeigen, dass sie ein ausgereiftes Programm zur Anwendungssicherheit eingeführt haben, welches den gesamten Software Development Lifecycle abdeckt.”

Weitere Informationen zum „Verified“-Programm auf der Veracode-Webseite.

(ID:45205245)

Über den Autor

 Stephan Augsten

Stephan Augsten

Chefredakteur, Dev-Insider